Embed Size (px)
Citation preview
Das Projekt AAR Authentifizierung, Autorisierung und
Rechteverwaltung
Ato Ruppert, Franck Borel
UB Freiburg
2
Authentifizierung, Autorisierung, Rechteverwaltung
• Anwendungsfälle: Wissenschaftsportale (ReDI, vascoda)
• Was ist AAR?• Föderationen und Rechtliches
AAR ist ein Projekt der UB Freiburg und
UB Regensburg. Gefördert vom BMBF (PT-NMB+F )
Übersicht
3
Wissenschaftportale 1
• vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland.
• vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen.
• Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt.
• An vascoda sind heute über 30 Einrichtungen mit fast 30 Angeboten beteiligt.
www.vascoda.de
4
Wissenschaftportale 2
• Regionale DatenbankInformationen Baden-Württemberg (www.redi-bw.de):
• Angebot insgesamt: 476 Datenbanken- Nutzung externer Verlagsserver: 142
- Windows-basierte CD-Angebote 326- Reference-Linking zu den Volltexten
• Über 60 Teilnehmereinrichtungen• Anfragen aus NRW, Sachsen, Hessen• Zentraler Einkauf über das Konsortium Baden-
Württemberg (http://www.konsortium-bw.de) sowie Bildung von Betriebsgemeinschaften
5
Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter
• Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen.
• Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.
• Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden.
Was wollen wir erreichen?
Demo:
6
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR ergänzt Shibboleth um einen Rechteserver
Was ist AAR?
7
Heimateinrichtung
Benutzerin
Anbieter
Benutzerin bekannt?
(1)
(4)(5) Benutzerin berechtigt?
(6)
(7)
(8)verweigertnein
ja
neinLokalisierungsdienst(2)(3)
Wie funktioniert AAR?
(9)gestattet Zugriffja
8
Wie funktioniert AAR?
• AAR verwendet Shibboleth v 1.3 (später 2.0)– Shibboleth baut auf folgende Standards auf:
• HTTP
• XML
• XML Schema (XSD)
• XML Signatur (XMLDisg)
• SOAP
• SAML 1.1 (später 2.0)
9
Wie funktioniert AAR?
• Transport und Aufbau einer Shibboleth-Nachricht
HTTP/HTTPS
SOAP Nachricht
SOAP Header
SOAP Body
SAML Anfrage/Antwort
10
Wie funktioniert AAR?(auf der Einrichtungsseite)
Apachemod_jk
Tomcat
SSO (HS) Attribute Authority
ARP
Authentifizierung über Tomcat oder Apache schützt
SSO (HS)
Autorisierung
Einrichtung (Identity Provider)
Benutzerdaten
Richtlinien für die Freigabe
von Attributen
LDAP...
SQL Benutzer-attribute
11
Wie funktioniert AAR?(auf der Anbieterseite)
Apache
Assertion Consumer Service
AAP
Anbieter (Service Provider)
Attribute Requester
Ressourcen
fragt Attribute bei der Attribute
Authority (IdP) ab
Access Control
definiert, welche Attribute für den Zugriff
auf die Ressourcen erforderlich sind
kontrolliert den Zugriff auf die Ressourcen
12
Rechteserver
Der Rechteserver (RS) ist nicht Bestandteil von Shibboleth.
• Er soll die Attribute (der Autorisierung) auf die Nutzungsbedingungen der Anbieter abbilden– Z.B.: „moving wall“, Embargos, Zeiteinschränkungen
• Der Rechteserver kann zentral oder dezentral (beim Anbieter) eingesetzt werden
• Der Rechteserver ist Teilprojekt unserer Projektpartner in der UB Regensburg.
R
13
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.
Was ist eine Föderation?
14
Aufbau einer Föderation
Für den Aufbau einer Föderation muss(mindestens) festgelegt werden:• Organisationsstruktur• Voraussetzungen für die Mitgliedschaft• Rechte und Pflichten der Föderation und Mitglieder• Richtlinien
– Aufnahmeverfahren für neue Mitglieder– Aktualisierung der Metadaten– akzeptierte (CA-)Zertifikate– Standardattribute, Datenschutz– Vorgehensweise bei Missbrauch
15
Föderation als Konsortium mit externer Verwaltung
E4
E…
Die organisatorischen Aufgaben zu AAR werden extern vergeben.Alle Entscheidungen verbleiben in der Föderation.Verträge: Multilateral mit allen BeteiligtenGrenze: Größe der Föderation
En
E2Externer Verwalter
Externer Verwalter (DFN)
E3
E1
Föderation
16
Föderation als Dienstangebot einer zentralen Einrichtung
E1
E2
E4E3
E5
E…
En
Die organisatorischen Aufgaben werden als Dienst einer zentralen Einrichtung für eine Föderation angebotenen und von der Föderation kontrolliert.Verträge: Bilateral zwischen Teilnehmer und zentraler EinrichtungBeispiele: Switch, Haka, InCommon
DFN
Föderation
17
Beispiel: Haka/Finnland(Quelle: Mikael Linden, CSC)
Die Organisationsstruktur von Haka entspricht der von SWITCHaai
Federation partners
Operator
Federation members
CSC – scientific computing ltd
Central AAI services
IdP PalveluPalvelu
PalveluIdP Palvelu
PalveluPalvelu
IdP SPSP
SP
SPSP
SP
Advisory co
mm
.
Ope
rations comm
.
18
Teilnehmer der Föderation und ihre Rollen
• Mitglieder (Unis, FHs, etc):– Einrichtung = Identity Provider– Anbieter (etwa eLearning-Angebote)
• Partner– Anbieter (auch kommerzielle!)
• Operator– Koordinationsdienst für die Föderationsverwaltung
• Steuerungsgremien– Überwachung und Entscheidung
19
Aufgaben der zentralen Stelle sind:• Vorgabe von Richtlinien (Policies)• Verwaltung der Metadaten der Mitglieder• Betrieb eines Lokalisierungsdienstes
(WAYF)• Betrieb einer Zertifizierungsstelle• Betrieb einer Testumgebung• Technischer Support
Aufgaben der zentralen Stelle (Operator)
20
Datenschutz 1 (Datenhaltung)
Europäisches Recht (Art. 6): Personenbezogene Datendürfen nur für spezielle Aufgaben verarbeitet werden!
• Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre.
Daraus folgt:• Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck
entsprechen! (Bei Unis u.a. ist das per se so)
Auf Seiten der (auch kommerziellen) Dienstanbieter (SP):• Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja• Z.B. EBAY, Kaufhäuser: Nein• Behörden: ?
21
Datenschutz 2 (Weitergabe von Attributen)
Europäisches Recht (Art. 7), §§18-20 LDSG-BW: Weitergabe personenbezogener Daten nur wenn
notwendig1. Zur Vertragserfüllung (mit den Anbietern)2. Gesetzliche Grundlagen vorliegen3. Zum Schutz vitaler Interessen (der Anbieter)4. Zur Erfüllung der Leistung eines Auftrages (des Anbieters)– und5. Nach ausdrücklicher Zustimmung der betroffenen Person
Fazit: Bei der Gründung der Föderation muss der Zweck festgelegt werden!
22
Attribut-Schemata
• Mehrere Grundlagen liegen vor:– eduPerson Specification (internet2)– funetEduPerson (Haka)– SCHAC-IAD Version 1.0.0 (Terena)– SwissEduPerson (Switch)
Beachte: Weltweite, kommerzielle Partner halten sich bisher i.a. an eduPerson! (wg. InCommon)
23
Shibboleth-Standardattribute
• Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema: http://www.incommonfederation.org/docs/policies/federatedattributes.html
• Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement)
• Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vorkonfiguriert sind
• Beispiele:– eduPersonScopedAffiliation (member@..., staff@...)– eduPersonTargetedID (r12345z@...)– eduPersonPrincipalName ([email protected])
24
Zum Abschluss:Stand und Ausblick zum Projekt
• Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar
• ReDI wird im Januar auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider)
• Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider)
• Am 23. März 2006 wird ein Workshop für Anbieter in Freiburg stattfinden
• Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt
• Der Rechteserver wird bis Mitte 2006 als Prototyp zur Verfügung stehen.
25
Links
• Allgemeines– http://aar.vascoda.de/links.php– http://www.terena.nl/tech/– http://www.geant2.net/upload/pdf/GN2-05-192v6.pdf
• Attribut-Schemata– http://www.csc.fi/suomi/funet/middleware/valinen/funetEduPerson_1_0.pdf– http://www.nmi-edit.org/eduPerson/draft-internet2-mace-dir-eduperson-
00.html– http://www.terena.nl/tech/task-forces/tf-emc2/docs/schac/schac-schema-IAD
-rc2.pdf– http://www.switch.ch/aai/docs/swissedu.schema– http://www.incommonfederation.org/docs/policies/federatedattributes.html
• Datenschutz– http://www.bfdi.bund.de/DE/Home/homepage__node.html– http://www.baden-wuerttemberg.datenschutz.de/recht/ldsg/default.htm– EU-Richtlinie
