Das Projekt AAR Authentifizierung, Autorisierung und

Rechteverwaltung

Vorstellung des Projektes und InformationsaustauschMannheim, 13. Juni 2006

Franck Borel, Jochen Lienhard,UB Freiburgborel@ub.uni-freiburg.de, lienhard@ub.uni-freiburg.de

Franck Borel, UB Freiburg 2

Übersicht

Das Projekt AAR Warum Shibboleth? Wie funktioniert Shibboleth? Attribute Identity-Provider Service-Provider Ausblick - Föderation Ansatz für Mannheim

Franck Borel, UB Freiburg 3

Das Projekt AAR

Partner: UB Freiburg und UB Regensburg finanziert durch das BMBF (PT-NMB+F ) eingebettet in vascoda Laufzeit 3 Jahre bis Ende 2007:

2 Jahre Entwicklungs- und Testphase mitReDI und vascoda als Pilotanwendungen

1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems

Franck Borel, UB Freiburg 4

Das Projekt AAR

Was wollen wir erreichen?Nutzer Der Zugriff auf lizenzierte Inhalte soll unabhängig vom

gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung

zur Verfügung stehen (Single Sign-On).Einrichtungen (etwa Hochschulen) Die Einrichtung soll ein beliebiges Authentifizierungssystem

wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.

Anbieter Die lizenzpflichtigen Inhalte der Anbieter sollen vor

unberechtigten Zugriff geschützt werden.

Franck Borel, UB Freiburg 5

Das Projekt AAR

AAR basiert auf Shibboleth

Shibboleth ist ein Internet2/MACE-Projekt(MACE = Middleware Architecture Committee for Education)

Shibboleth entwickelt eine Architektur (Protokolle und Profile), Richtlinien-Strukturen und eine Open Source-Implementierung

für den einrichtungsübergreifenden Zugriffauf geschützte (Web-)Ressourcen

Franck Borel, UB Freiburg 6

Warum Shibboleth?

Einrichtungsübergreifendes Single Sign-On Autorisierung und Zugriffskontrolle über Attribute mit

der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten

basiert auf bewährter Software und Standards (SAML: XML, SOAP, TLS, XMLsig, XMLenc)

Integration mit vorhandenem IdMund (webbasierten) Anwendungen möglich

Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, Springer, ...)

Franck Borel, UB Freiburg 7

Warum Shibboleth?

Anwendungsmöglichkeiten

Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten: Zeitschriften, Datenbanken, Bücher, ... Portale (z.B. vascoda, ReDI) DFG-Nationallizenzen Repositories (z.B. MyCoRe)

e-Learning e-Science Verwaltungssysteme Grid-Computing

Franck Borel, UB Freiburg 8

Woher kommt „Shibboleth“?

Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor

Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, dass zu der Zeit von Ephraim fielen zweiundvierzigtausend.

Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen

Franck Borel, UB Freiburg 9

Wie funktioniert Shibboleth?

Föderation

Heimat-einrichtung mit

Identity-Provider

Heimat-einrichtung mit

Identity-Provider

Anbieter mitService-Provider

Anbieter mitService-Provider

WAYFWAYF

AuthentifizierungAutorisierung

AuthentifizierungAutorisierung

Ressourcen-verwaltung, Zugangs-

berechtigung

Ressourcen-verwaltung, Zugangs-

berechtigung

Ordnet einen Benutzer seiner

Heimateinrichtung zu

Ordnet einen Benutzer seiner

Heimateinrichtung zu

Vertragspartner, Operator, rechtliche

Belange

Vertragspartner, Operator, rechtliche

Belange

Franck Borel, UB Freiburg 10

Wie funktioniert Shibboleth?

Benutzerin

Service-Provider

(4)(5) Benutzerin berechtigt?

(6)

(7)

(8) verweigertnein

(3)

(9)gestattet Zugriffja

Identity-ProviderIdentity-Provider

WAYFWAYF

Benutzerin bekannt?

ja

nein(2)

(1)

Franck Borel, UB Freiburg 11

Wie funktioniert Shibboleth?

Sicherheitsmechanismen SSL/TSL: Man-in-the-Middle, Message Modification,

Eavesdropping XMLsig: Message Modification Gültigkeitsdauer von Sitzungen, Bestätigungen,

Attributen (engl. Lifetime, TTL): Replay, DoS Metadaten: DoS, Message Modification Es werden keine personenbezogenen Daten übermittelt,

sondern Stellvertreter (engl. Handler): Eavesdropping

Franck Borel, UB Freiburg 12

Attribute

Attribute bilden die Grundlage für die Autorisierung und die Zugriffskontrolle in Shibboleth: Identity-Provider stellen die notwendigen Attribute

für ihre Benutzer zur Verfügung. Service-Provider werten die Attribute anhand ihrer

Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.

Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!

Franck Borel, UB Freiburg 13

Attribute

Der „Shibboleth-Standard“

InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben: http://www.incommonfederation.org/docs/policies/federatedattributes.html

Internationale Anbieter orientieren sich üblicherweise an diesem Standard.

Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, typischerweise miteduPersonScopedAffiliation, eduPersonEntitlement, eduPersonTargetedID oder eduPersonPrincipalName

Anerkannter Attributwert für Standardlizenzmodelle: urn:mace:dir:entitlement:common-lib-terms

Franck Borel, UB Freiburg 14

Identity-Provider (IdP 1.3)

ApacheApache

mod_jkmod_jk

TomcatTomcat

Einrichtung (Identity-Provider)

IdP-ServletAttributfilter

Lokales Identity-ManagementLokales Identity-Management

Franck Borel, UB Freiburg 15

Identity-Provider

Arbeitsschwerpunkte IdP

Anbindung des IdP mit lokalem IdM: Authentifizierung: LDAP, SQL, diverse Bibliothekssysteme (BiBer, Libero)

und ReDI (JAAS) Autorisierung: LDAP, SQL, eigene Resolver

IdP für mehr als 50 ReDI-Teilnehmer: zunächst zentral installiert Übernahme in lokalen Betrieb zum Teil bereits in Arbeit (Heidelberg,

Konstanz, Stuttgart, Hohenheim, BSZ) Virtual Home Organization (VHO) Beratung und technische Unterstützung von Hochschulen,

Bibliotheksverbünden, ...

Franck Borel, UB Freiburg 16

ApacheApache

Service-Provider (SP)

mod_shib(shire)

Anbieter (Service-Provider)

shibd (shar)shibd (shar)

Ressourcen

Ressourcen

Zugriffskontrolle

Attributfilter

Franck Borel, UB Freiburg 17

Service-Provider

Arbeitsschwerpunkte

Anwendungen Shibboleth fähig machen: ReDI (Hauptentwicklung: integrierter WAYF) vascoda (IPS-Portalsoftware): bis Herbst 2006 Testumgebung mit

Hochschulbibliothekszentrum Köln und Informationszentrum Sozialwissenschaften Bonn aufbauen

Testumgebung CSA Bibliotheksanwendungen (z.B. Standortkatalog) Systemanwendungen (z.B. Nagios und Backup) interne Webseiten der UB Freiburg, ...

weitere (kommerzielle) Anbieter überzeugen Beratung und technische Unterstützung von Einrichtungen und

(kommerziellen) Anbietern

Franck Borel, UB Freiburg 18

„Migrationscheckliste“

Wie werden die Ressourcen bisher geschützt (Apache, Tomcat, eigenes Verfahren, ...)?

Existiert ein Sitzungsmanagement? Kann dieses weiter verwendet werden, z.B. indem

eine Sitzung über Shibboleth aufgebaut wird? Existiert eine Rechteverwaltung? Können die dafür notwendigen Informationen per

Shibboleth über Attribute bereitgestellt werden? Können die Identity-Provider die notwendigen

Attribute liefern?

Franck Borel, UB Freiburg 19

Ausblick - Föderation

Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.

Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.

Unter Koordination des DFN wird eine deutschlandweite Föderation aufgebaut(DFN-AAI).

Franck Borel, UB Freiburg 20

Ansatz für Mannheim

Eigener IdP für ReDI mit LDAP Authentifizierung Welche Attribute kann LDAP liefern? Wie aktuell sind die Daten des LDAP? Wie sollen Walk-In-Patrons identifiziert werden?

Integration des IBplus-Servers in den Shibbolethprozess?

Elektra-Portal als Service-Provider Weitere Dienste der Uni Mannheim

shibbolethfähig machen (LMS)

Franck Borel, UB Freiburg 21

AAR-Webseite : http://aar.vascoda.de/ AAR-Team : info@aar.vascoda.de Nächster AAR-Workshop:

10. Oktober 2006 in Freiburg

Ich danke Ihnen für Ihre Aufmerksamkeit!