Single-SignOn mit Shibboleth in einer föderativen Umgebung

Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR)

Ato Ruppert, UB Freiburg8. Mai 2007, Tagung Bologna online, Halle

Gliederung

• Motivation, Szenario• Allgemeines zu Shibboleth und

Single Sign-On (SSO)• Attribute, Rollen und Rechte• Einsatzbeispiele und Visionen• Ausblick

Was wollen wir erreichen?

Nutzer• Der Zugriff auf lizenzierte Inhalte soll unabhängig vom

gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. • Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung

zur Verfügung stehen (Single Sign-On).Einrichtungen (etwa Hochschulen)• Die Einrichtung soll ein beliebiges Authentifizierungssystem

wählen dürfen.Anbieter • Die lizenzpflichtigen Inhalte der Anbieter sollen vor

unberechtigten Zugriff geschützt werden.

• AAR baut eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung

• AAR implementiert ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“)

• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR basiert auf einem föderativen Ansatz:

Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen

• Gemeinsam mit dem DFN-Verein wird eine deutschlandweite Föderation als nachhaltiger Dienst des DFN aufgebaut (DFN-AAI).

Was macht das AAR-Projekt?

5 Gründe für Shibboleth

• einrichtungsübergreifendes Single Sign-On• Autorisierung und Zugriffskontrolle über Attribute

mit der Möglichkeit zur anonymen/pseudonymenNutzung von Angeboten

• basiert auf bewährter Software und Standards(SAML: XML, SOAP, TLS, XMLsig, XMLenc)

• Aufwand für Integration mit vorhandenem IdMund (webbasierten) Anwendungen in vielen Fällen vergleichsweise gering

• Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, GBI, CSA, ...)

Woher kommt „Shibboleth“?

Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff:

• Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)(vergl. auch: http://www.thebricktestament.com/judges/42000_ephraimites_killed/jg12_04.html)

Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen !

Heute: Awwer hache derfst misch net!

Anbieter

Wie funktioniert Shibboleth?

BenutzerinBenutzerin berechtigt?

(7)gestattet

verweigertZugriff

(9)

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)

Erstkontakt

Benutzerin angemeldet?

(1)

Heimateinrichtung

(4)

ja

nein

(6)(5) Login

(3)

(8)

Anbieter

Wie funktioniert Shibboleth?

Benutzerin

gestattet

verweigertZugriff

(9)

Benutzerin bekannt?

(1)

ja

nein

ja(2)

Folgekontakt (gleicher Anbieter)

Benutzerin berechtigt?

(7)

Anbieter

Wie funktioniert Shibboleth?

BenutzerinBenutzerin berechtigt?

(7)gestattet

verweigertZugriff

(9)

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)

Folgekontakt anderer Anbieter

Benutzerin bekannt?

(1)

Heimateinrichtung

(4)

ja

nein

(6)

(3)

(8)

Wozu eine Föderation DFN-AAI?

• Wo ist das Problem?– Anbieter muss dem Anwender vertrauen.– Es geht um Geld.– „Vertrauen“ heißt im Geschäftsleben: „Vertrag“.– Es müssen belastbare vertragliche Regelungen getroffen

werden.• DFN-AAI ist ein Dienst des DFN-Vereins für Wissen-

schaftseinrichtungen und (auch für kommerzielle) Anbieter von (Informations)-Ressourcen.

• DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern.

• Die DFN-AAI schliesst aber kein Lizenzverträge ab!

Attribute

• Personen erhalten elektronische Identität– Attribute beschreiben die Rolle der Person

• Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth:– Identity-Provider stellen mit Attributen die notwendigen

Informationen über ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer

Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.

• Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!

• Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!

Attribute: Rollen und Rechte

• eduPersonScopedAffiliation:member@uni-freiburg.de– Ermöglicht grundlegende Rollen: member, faculty, staff,

employee, student, alum und affiliate

• eduPersonTargetedID:12345ADXY– Eindeutiges, persistentes Pseudonym z.B. zur Personalisierung

• eduPersonEntitlement:common-lib-terms– Frei definierbar, URN/URI-Syntax (Absprachen zwischen IdP

und SP erforderlich)

• eduPersonPrincipalName: ruppert@uni-freiburg.de– Eindeutiger, persistenter Identifier (Datenschutz beachten!)

Weitergabe von Attributen: Das Modell Autograph (MAMS)

• Die Attribute, die an einen Service-Provider weitergegeben werden, werden den Benutzern in Form von Visitenkarten präsentiert.

• Benutzer können für jeden Service-Provider individuelle Visitenkarten erstellen.

• Die Bedienung ist sehr intuitiv:– Streichen von Attributen schränkt die verfügbaren Dienste

entsprechend ein– Auswahl eines gewünschten Dienstes fügt automatisch die

notwendigen Attribute hinzu

Visitenkartenmodell von MAMS

Auswirkung:Ohne Mail-Adresse ist Nutzung des Alert-Dienstes nicht möglich.

X

X

Namen: Ruppert

Mitgliedstyp: Staff

Mail: ato@uni-freiburg.de

X

Sie geben folgende Daten an den Dienstanbieter weiter. Wenn Sie einzelne Datennicht weitergeben wollen, löschen Sie bitte die Markierung:

X

Namen: Ruppert

Mitgliedstyp: Staff

Mail:

X

Einsatzmöglichkeiten von SSO

• Zugang zu geschützten (auch und gerade kommerziellen) elektronischen Informationsangeboten:– E-Zeitschriften, Datenbanken, E-Bücher, ...– Portale (z.B. vascoda, ReDI)– DFG-Nationallizenzen– Repositories (z.B. MyCoRe, EPrint, DSpace)

• e-Learning• e-Science• Verwaltungssysteme• Grid-Computing

Beispiel: Nationallizenzen: Die Situation heute – institutionelle Nutzer

Verlag-1

Verlag-m

Verlag-2Einrichtung-1

Einrichtung-2

z.B.ReDI

Zugangsvermittlung mitproprietären Verfahren

IP-Kontrolle

IP-Liste

IP-Liste

IP-Kontrolle

IP-Kontrolle

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-Kontrolle

Nationallizenzen:Das Ziel mit Shibboleth

1x1x

NLVHO

ReWritingProxy

Verlag-1

Verlag-m

Verlag-2

Shib idp Shibsp

Shibsp

Shib idp

Shibsp

IP-Ctrl

Ggf mehrere Instanzen (Einrichtungen)

IPIP Falls Einrichtung über IP authentifiziert

IPIP

Bibliotheks-dienste

E-Learning

SeminararbeitPersonalisierte

Dienste

E-Mail

Verwaltungs-systeme

IdM

Das Projekt Das Projekt MyLoginMyLogin an der Uni FRan der Uni FR

Single-SignOn mit Shibboleth,ein Login für alle Dienste

Bibliotheks-dienste

E-Learning

SeminararbeitPersonalisierte

Dienste

E-Mail

Verwaltungs-systeme

Das Das ProjektProjekt myLoginmyLogin derder UniUni FreiburgFreiburg

Meine Dienste:

Chance und Vision:Authentifizierung & Personalisierung

Mein OLAF-Konto:

derzeit keine

4,50 Eur

51

derzeit keine

Katalogauswahl: Mein Katalog

Meine BibliothekLogout

Meine Einstellungen

Mein Fachportal

Zum Abschluss: Was haben wir?

• Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar ( bei AAR und DFN-AAI)

• -Portal (BaWü) wurde auf Shibboleth umgestellt(mit einer „internen“ Föderation, etwa 60 IdentityProvider und zwei Anbietern: CSA, GBI)

• Die Betriebssoftware IPS von vascoda ist auf Shibbolethumgestellt (Einsatz in Freiburg)

• Für den Bereich der Nationallizenzen wird z.Zt. eine VHO als Grundlage zur Einführung von Shibbolethaufgebaut (GBV Göttingen).

• Die Föderation DFN-AAI wird Mitte 2007 betriebs- und vertragsbereit sein.

Zum Abschluss: Was fehlt noch?

• Viele, viele IdM-Systeme in den Einrichtungen! • Shib-unterstützende Repositories, Autorenwerkzeuge

– Verfügbar: z.B.: EPrints, DSpace

• Shib-unterstützende E-Learning-Systeme– Verfügbar z.B. OLAP (Vorreiter: Sachsen, Schweiz)

• Shib-unterstützende Verlage– Alle Bibliotheken und Konsortien müssen mitmachen– „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann

unterstützend wirken (und tut es)

Vielen Dank für Ihre Aufmerksamkeit!

AAR ist ein Projekt der UB Freiburg.

Gefördert vom BMBF (PT-NMB+F )AAR kooperiert mit dem DFN-Verein

aar.vascoda.deinfo@aar.vascoda.de

ruppert@ub.uni-freiburg.de