View
222
Download
7
Category
Preview:
Citation preview
Verteilte Authentifizierung, Autorisierung und Rechteverwaltung (AAR)
beim elektronischen Publizieren
Forum Innovation Buchmesse Frankfurt, 20. Oktober 2005
Ato Ruppert, UB Freiburgruppert@ub.uni-freiburg.de
2
• Warum AAR?• Wie funktioniert AAR?• Vorteile von AAR• Föderationen
AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF (PT-FI)
Übersicht
3
Authentifizierung, Autorisierung undRechteverwaltung sind notwendig um• den Zugriff auf Ressourcen auf
bestimmte Benutzergruppen oder Benutzer einschränken und
• den Benutzern Dienste personalisiert anbieten zu können. („MyService“)
Warum AAR?
4
Heutige Probleme aus Sicht des Anbieters:• hoher Aufwand für den Schutz von Ressourcen,
insbesondere für einen differenzierten Schutz• hoher Aufwand für die Registrierung und
Verwaltung von Benutzern für personalisierte Angebote
• Bei IP-Adresskontrolle: Leichte Umgehung der Sicherungen, hoher Aufwand bei der Pflege
Warum AAR?
5
Probleme aus Sicht der Einrichtung:• hoher Aufwand für die Einbindung
neuer Ressourcen in das eigene Angebot• hoher Aufwand für den Schutz eigener
Ressourcen (z.B. E-Learningmodule)• Sicherheitsprobleme und technische
Probleme bei heute üblichen Verfahren
Warum AAR?
6
Probleme aus Sicht des Benutzers:• mehrfache Authentifizierung für die
Nutzung verschiedener Dienste erforderlich• verschiedene Benutzerkennungen und
Passworte für verschiedene Dienste• bei vielen Ressourcen Zugriff nur
innerhalb der eigenen Einrichtung (IP-Adresskontrolle)
Warum AAR?
7
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („ReferenceLinking“)
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• AAR baut auf Shibboleth (Internet2-Projekt) auf
Was ist AAR?
8
Wie funktioniert AAR?
Heimateinrichtung
Benutzerin
Anbieter
Benutzerin bekannt?(1)
(4)(5) Benutzerin berechtigt?
(6)
(7)
(8)
gestattet
verweigertZugriff
(9)ja
nein
ja
neinLokalisierungsdienst[WAYF]
(2)(3)
9
Vorteile aus Sicht des Anbieters:• Ressourcen können differenziert geschützt werden• keine Benutzerverwaltung auf Seiten des
Anbieters erforderlich• Integration in vorhandene Systeme ist häufig mit
geringem Aufwand möglich• Alle Komponenten sind Open Source und stehen
kostenfrei zur Verfügung• Das Projekt AAR bietet Unterstützung an
Vorteile von AAR
10
Vorteile aus Sicht der Einrichtung:• Einbindung neuer Ressourcen in das eigene
Angebot ist sehr einfach• berechtigten Nutzern anderer Einrichtungen kann
leicht Zugriff auf eigene geschützte Ressourcen (z.B. E-Learningmodule) gewährt werden
• hohe Sicherheit durch zentrale Authentifizierung• Komponenten sind Open Source und kostenfrei
Vorteile von AAR
11
Vorteile aus Sicht des Benutzers:• Single Sign-on – alle Ressourcen können
mit einem einzigen Account und nach nur einmaliger Authentifizierung genutzt werden
• Nutzung der Ressourcen ist unabhängigvon Standort und Zugriffsweg möglich
• Datenschutz wird respektiert
Vorteile von AAR
12
Heute: Ohne AAR
Einrichtung A
Anbieter
Einrichtung B
MailWeb
E-Learning
E-Journal
DB-RechercheE-Learning
13
Morgen: Mit AAR
AAREinrichtung A
Anbieter
Einrichtung B
MailWeb
E-Learning
E-Journal
DB-RechercheE-Learning
14
Föderation
Einrichtung Anbieteren
Was ist eine Föderation?
15
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.
Was ist eine Föderation?
16
Aufgaben einer Föderation sind:• Vorgabe von Richtlinien (Policies)• Verwaltung der Metadaten der Mitglieder• Betrieb des Lokalisierungsdienstes (WAYF)• Betrieb einer Zertifizierungsstelle• Technischer Support
Aufgaben einer Föderation
17
• Einrichtungen aus dem Hochschulbereich schließen sich üblicherweise landesweit zu Föderationen zusammen, zum Beispiel:USA (InCommon), Großbritannien (SDSS),Schweiz (SWITCH), Finnland (HAKA)
• Einrichtungen und Anbieter können jeweils zu mehreren Föderationen gehören!
• Aufbau einer deutschlandweiten Föderation im Rahmen des DFN wird angestrebt
Aufbau einer Föderation
18
Aufbau einer Föderation
Für den Aufbau einer Föderation müssen(mindestens) festgelegt werden:• Organisationsstruktur• Voraussetzungen für die Mitgliedschaft• Rechte und Pflichten der Föderation und Mitglieder• Richtlinien
– Aufnahmeverfahren für neue Mitglieder– Aktualisierung der Metadaten– akzeptierte (CA-)Zertifikate– Standardattribute– Vorgehensweise bei Missbrauch
19
Richtlinien
Mitglieder der Föderation müssen üblicherweisefolgende Punkte dokumentieren bzw. es werdenMindeststandards festgesetzt für:• Identity Provider (Einrichtung):
– Benutzerverwaltung– Authentifizierungssystem
• Service Provider (Anbieter):– benötigte Attribute– Datenschutzrichtlinien
20
Shibboleth-Standardattribute• Shibboleth/InCommon-Standardattribute basieren auf
dem eduPerson-Schema: http://www.incommonfederation.org/docs/policies/federatedattributes.html
• Internationale Anbieter halten sich üblicherweise an diesen Standard
• Service Provider kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits weitgehend vorkonfiguriert sind
• Beispiele:– eduPersonScopedAffiliation (member@..., staff@...)– eduPersonPrincipalName (ruppert@uni-freiburg.de)– eduPersonTargetedID (r12345z@...)
21
Föderationen: Beispiele
• Schweiz/SWITCH (Stiftung):– AAI Service Agreement– AAI Policy– AAI Federation Partner Agreement
• USA/InCommon (GmbH):– Participation Agreement– Participant Operational Practices– Federation Operating Practices and Procedures
22
Zum Abschluss: Ein Angebot
• AAR-Workshop für interessierte Service Provider im März 2006 in Freiburg
• Unterstützung und Beratung bei der Implementierung (gegen Erstattung der Selbstkosten)
• AAR-Webseitehttp://aar.ub.uni-freiburg.de/
• Freiburger AAR-Team:aar-info@ub.uni-freiburg.de
Haben Sie noch Fragen?
23
Danke für Ihre Aufmerksamkeit!
Recommended