Embed Size (px)
DESCRIPTION
Projektübersicht AAR und Einführung in die Thematik Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR) Ato Ruppert UB Freiburg 2. Shibboleth-Workshop 23. März 2006. Fragestellung und Motivation. Suche nach wissenschaftlicher Information im Internet - PowerPoint PPT Presentation
Citation preview
Projektübersicht AAR und Einführung in die Thematik
Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR)
Ato RuppertUB Freiburg
2. Shibboleth-Workshop 23. März 2006
2
Fragestellung und Motivation
• Suche nach wissenschaftlicher Information im Internet
• Quelle wird gefunden, aber…• …Zugang nur gegen Passwort oder Zahlung
->Wiss. Bibliotheken kaufen Nutzungslizenzen für elektronische Informationen. Daher ist der Zugang über die Bibliotheken i.d.R. möglich.
3
Wissenschaftportale 1
• vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland.
• vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen.
• Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt.
• An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt.
www.vascoda.de
4
Wissenschaftportale 2
• Regionale DatenbankInformationen Baden-Württemberg (www.redi-bw.de):
• Angebot insgesamt: 493 Datenbanken- Nutzung externer Verlagsserver: 147
- Windows-basierte CD-Angebote 337- Reference-Linking zu den Volltexten
• Über 60 Teilnehmereinrichtungen
5
Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter
• Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen.
• Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.
• Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden.
Was also wollen wir erreichen?
6
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“)
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR ergänzt Shibboleth um einen Rechteserver
Was ist AAR?
7
Woher kommt „Shibboleth“?(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)
Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff:
• Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.
Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen !
8
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.
• Unter Koordination des DFN wird eine deutschlandweite Föderation aufgebaut (DFN-AAI).
• Am 14. März 2006 wurde in Berlin eine Arbeitsgruppe zum Aufbau der Föderation gebildet. Mitglieder sind: DFN, AAR, Bibliotheken, GRID-Gruppen, CERT, RZ‘s, u.a.
• DFN und AAR haben internationale Kontakte zu Internet2, Switch, Haka, MAMS. Das Projekt ist koordiniert mit anderen europäischen Aktivitäten (z.B. Terena, Geant2).
Was ist eine Föderation?
9
Teilnehmer der Föderation und ihre Rollen
• Mitglieder (Unis, FHs, etc):– Einrichtung = Identity Provider (IdP)– Anbieter (etwa eLearning-Angebote) = Service Provider (SP)
• Partner– Anbieter (auch kommerzielle!) = Service Provider (SP)
• Steuerungsgremien– Überwachung und Entscheidung
• Operator– Koordinationsdienst für die Föderationsverwaltung– Technische Dienste
10
Beispiel: Haka/Finnland(Quelle: Mikael Linden, CSC)
Die Organisationsstruktur von Haka entspricht der von SWITCHaai
Federation partners
Operator
Federation members
CSC – scientific computing ltd
Central AAI services
IdP PalveluPalvelu
PalveluIdP Palvelu
PalveluPalvelu
IdP SPSP
SP
SPSP
SP
Advisory com
m.
Operations com
m.
11
Datenschutz 1 (Datenhaltung)
Europäisches Recht (Art. 6): Personenbezogene Datendürfen nur für spezielle Aufgaben verarbeitet werden! • Die Einrichtungen (= Identitiy Provider) müssen den Zweck der
Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre.
Daraus folgt:• Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck
entsprechen! (Bei Unis u.a. ist das per se so)
Auf Seiten der (auch kommerziellen) Dienstanbieter (SP):• Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja• Z.B. EBAY, Kaufhäuser: Einschränkungen sind denkbar• Behörden: ?
12
Datenschutz 2 (Weitergabe von Attributen)
Europäisches Recht (Art. 7), §§18-20 LDSG-BW: Weitergabe personenbezogener Daten nur wenn
notwendig1. Zur Vertragserfüllung (mit den Anbietern)2. Gesetzliche Grundlagen vorliegen3. Zum Schutz vitaler Interessen (der Anbieter)4. Zur Erfüllung der Leistung eines Auftrages (des Anbieters)– und5. Nach ausdrücklicher Zustimmung der betroffenen Person
13
Dienste des Föderationsoperators
• Vorgabe von Richtlinien (Policies)• Verwaltung Metadaten der Mitglieder • Betrieb eines Lokalisierungsdienstes • Betrieb einer Zertifizierungsstelle• Betrieb einer Testumgebung• Technischer Support
Status
• in Arbeit
• in Arbeit
• verfügbar: AAR
• verfügbar: DFN
• verfügbar: AAR
• verfügbar: AAR
14
Anwendungsmöglichkeiten
• Portale: vascoda, ReDI …• Verwaltungssysteme• eScience-Projekte• eLearning-Systeme• Repositories, z.B. MyCoRe• Grid-Computing• Öffentliches Angebot der DFG-Nationallizenzen
(Planung: Realisierung bis Ende Mai 2006)
15
Nationallizenzen: Die Situation heute – institutionelle Nutzer
Verlag-1
Verlag-m
Verlag-2Einrichtung-1
Einrichtung-2
z.B.ReDI
Zugangsvermittlung mitproprietären Verfahren
IP-Kontrolle
IP-Liste
IP-Kontrolle
IP-Kontrolle
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-ListeIP-
Liste
IP-Kontrolle
16
Ziel mit AAR
www.nationallizenzen.de
1x
NLVHO
Verlag-1
Shib idp Shibsp
Verlag-m
Shib idp
Shibsp
Falls Einrichtung über IP authentifiziert
ReWriting Proxy (HAN) Verlag-2
Shibsp
IP-Ctrl
Ggf mehrere Instanzen (Einrichtungen)
IP
17
Danke für Ihre Aufmerksamkeit!
AAR ist ein Projekt der UB Freiburg und UB Regensburg.
Gefördert vom BMBF (PT-NMB+F )
