MyCoReMyCoRe in einemin einem

Detlev Degenhardt Detlev Degenhardt Jena, den 23.02.2006Jena, den 23.02.2006

- Umfeld- Umfeld

Authentifizierung., Autorisierung und Rechteverwaltung

Partner: UB Freiburg und UB Regensburg

Finanziert durch das BMBF (2 Stellen in FR, …)

Eingebettet in vascoda (http://aar.vascoda.de)

Laufzeit 3 Jahre (bis Ende 2007):- 2 Jahre Entwicklungs- und Testphase mit

ReDI und vascoda als Pilotanwendungen- 1 Jahr Unterstützung von Einrichtungen und Anbietern bei

der Einführung des Systems

Detlev Degenhardt, Rechenzentrum der Universität Freiburg

Das Projekt AAR Das Projekt AAR

• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung

• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können

• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen

• AAR baut auf Shibboleth auf

Was ist AAR?

Bernd Oberknapp, UB Freiburg

Shibboleth-Komponenten

• Identity Provider:– Single Sign-on Service (SSO)– Attribute Authority (AA)– Artifact Resolution Service

• Service Provider:– Assertion Consumer Service (mod_shib)– Shibboleth Daemon (shibd)– Resource Manager

• Where Are You From? (WAYF)

Bernd Oberknapp, UB Freiburg

Heimateinrichtung

Benutzerin

Anbieter

Benutzerin bekannt?(1)

(4)(5) Benutzerin berechtigt?

(6)

(7)

(8)

gestattet

verweigertZugriff

(9)ja

nein

ja

neinLokalisierungsdienst(2)(3)

Wie funktioniert AAR?

Föderation

Einrichtung Anbieteren

Was ist eine Föderation?

Bernd Oberknapp, UB Freiburg

• Eine Föderation ist ein Zusammenschluss von Einrichtungen und Anbietern auf Basis gemeinsamer Richtlinien.

• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.

Was ist eine Föderation?

Bernd Oberknapp, UB Freiburg

Aufgaben einer Föderation sind:• Vorgabe von Richtlinien (Policies)• Verwaltung der Metadaten der Mitglieder• Betrieb des Lokalisierungsdienstes

(WAYF)• Betrieb einer Zertifizierungsstelle• Technischer Support

Aufgaben einer Föderation

Bernd Oberknapp, UB Freiburg

Das AAR Projekt ist damit beauftragt, eine deutschlandweite Föderation im Rahmen des DFN aufzubauen!

Detlev Degenhardt, Rechenzentrum der Universität Freiburg

Bedeutung für MyCoRe Bedeutung für MyCoRe

Benutzerverwaltung- endlich externe Authentifizierung (LDAP usw.) !- lokale Rollen / Permissions bleiben erhalten- Föderation möglich!

Zugriffskontrolle / Rechteverwaltung (ACL)- Über Shibboleth werden lediglich Benutzerattribute ermittelt

und es bleibt dem Server des Dienstanbieters überlassen, aus diesen Attributen konkrete Rechte an den Ressourcen abzuleiten.

- Siehe aber auch: „Rechteserver“ in Regensburg

Detlev Degenhardt, Rechenzentrum der Universität Freiburg

MyCoRe und Shibboleth MyCoRe und Shibboleth

Diplomarbeit- Joachim Meyer- offizieller Beginn am 7.3.2006

Wie weit sind wir?- Einarbeitung in mycore (1.2)- Installation der Service-Provider – Komponenten

von Shibboleth- Verwendung des Identity-Providers des AAR-Projekts

klappt soweit.

Detlev Degenhardt, Rechenzentrum der Universität Freiburg

… gibt es sonst noch Fragen?

Vielen Dank für das Zuhören…Vielen Dank für das Zuhören…

Aufbau (SP)

Apache

mod_shib(ACS)

AAP

shibd

Ressourcen

Benutzer authentifiziert?

fragt Attribute bei der AA ab

definiert, welche Attribute für den Zugriff

auf die Ressourcen erforderlich sind

Ressource-Manager (RM)

kontrolliert den Zugriff auf die Ressourcen

Jochen Lienhard, UB Freiburg