Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Single-SignOn mit Shibboleth in einer föderativen Umgebung
Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR)
Ato Ruppert, UB Freiburg8. Mai 2007, Tagung Bologna online, Halle
Gliederung
• Motivation, Szenario• Allgemeines zu Shibboleth und
Single Sign-On (SSO)• Attribute, Rollen und Rechte• Einsatzbeispiele und Visionen• Ausblick
Was wollen wir erreichen?
Nutzer• Der Zugriff auf lizenzierte Inhalte soll unabhängig vom
gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. • Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung
zur Verfügung stehen (Single Sign-On).Einrichtungen (etwa Hochschulen)• Die Einrichtung soll ein beliebiges Authentifizierungssystem
wählen dürfen.Anbieter • Die lizenzpflichtigen Inhalte der Anbieter sollen vor
unberechtigten Zugriff geschützt werden.
• AAR baut eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR implementiert ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“)
• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR basiert auf einem föderativen Ansatz:
Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• Gemeinsam mit dem DFN-Verein wird eine deutschlandweite Föderation als nachhaltiger Dienst des DFN aufgebaut (DFN-AAI).
Was macht das AAR-Projekt?
5 Gründe für Shibboleth
• einrichtungsübergreifendes Single Sign-On• Autorisierung und Zugriffskontrolle über Attribute
mit der Möglichkeit zur anonymen/pseudonymenNutzung von Angeboten
• basiert auf bewährter Software und Standards(SAML: XML, SOAP, TLS, XMLsig, XMLenc)
• Aufwand für Integration mit vorhandenem IdMund (webbasierten) Anwendungen in vielen Fällen vergleichsweise gering
• Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, GBI, CSA, ...)
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff:
• Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)(vergl. auch: http://www.thebricktestament.com/judges/42000_ephraimites_killed/jg12_04.html)
Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen !
Heute: Awwer hache derfst misch net!
Anbieter
Wie funktioniert Shibboleth?
BenutzerinBenutzerin berechtigt?
(7)gestattet
verweigertZugriff
(9)
neinLokalisierungsdienst(WAYF, IdP Discovery)
(2)
Erstkontakt
Benutzerin angemeldet?
(1)
Heimateinrichtung
(4)
ja
nein
(6)(5) Login
(3)
(8)
Anbieter
Wie funktioniert Shibboleth?
Benutzerin
gestattet
verweigertZugriff
(9)
Benutzerin bekannt?
(1)
ja
nein
ja(2)
Folgekontakt (gleicher Anbieter)
Benutzerin berechtigt?
(7)
Anbieter
Wie funktioniert Shibboleth?
BenutzerinBenutzerin berechtigt?
(7)gestattet
verweigertZugriff
(9)
neinLokalisierungsdienst(WAYF, IdP Discovery)
(2)
Folgekontakt anderer Anbieter
Benutzerin bekannt?
(1)
Heimateinrichtung
(4)
ja
nein
(6)
(3)
(8)
Wozu eine Föderation DFN-AAI?
• Wo ist das Problem?– Anbieter muss dem Anwender vertrauen.– Es geht um Geld.– „Vertrauen“ heißt im Geschäftsleben: „Vertrag“.– Es müssen belastbare vertragliche Regelungen getroffen
werden.• DFN-AAI ist ein Dienst des DFN-Vereins für Wissen-
schaftseinrichtungen und (auch für kommerzielle) Anbieter von (Informations)-Ressourcen.
• DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern.
• Die DFN-AAI schliesst aber kein Lizenzverträge ab!
Attribute
• Personen erhalten elektronische Identität– Attribute beschreiben die Rolle der Person
• Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth:– Identity-Provider stellen mit Attributen die notwendigen
Informationen über ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer
Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.
• Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!
• Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!
Attribute: Rollen und Rechte
• eduPersonScopedAffiliation:[email protected]– Ermöglicht grundlegende Rollen: member, faculty, staff,
employee, student, alum und affiliate
• eduPersonTargetedID:12345ADXY– Eindeutiges, persistentes Pseudonym z.B. zur Personalisierung
• eduPersonEntitlement:common-lib-terms– Frei definierbar, URN/URI-Syntax (Absprachen zwischen IdP
und SP erforderlich)
• eduPersonPrincipalName: [email protected]– Eindeutiger, persistenter Identifier (Datenschutz beachten!)
Weitergabe von Attributen: Das Modell Autograph (MAMS)
• Die Attribute, die an einen Service-Provider weitergegeben werden, werden den Benutzern in Form von Visitenkarten präsentiert.
• Benutzer können für jeden Service-Provider individuelle Visitenkarten erstellen.
• Die Bedienung ist sehr intuitiv:– Streichen von Attributen schränkt die verfügbaren Dienste
entsprechend ein– Auswahl eines gewünschten Dienstes fügt automatisch die
notwendigen Attribute hinzu
Visitenkartenmodell von MAMS
Auswirkung:Ohne Mail-Adresse ist Nutzung des Alert-Dienstes nicht möglich.
X
X
Namen: Ruppert
Mitgliedstyp: Staff
Mail: [email protected]
X
Sie geben folgende Daten an den Dienstanbieter weiter. Wenn Sie einzelne Datennicht weitergeben wollen, löschen Sie bitte die Markierung:
X
Namen: Ruppert
Mitgliedstyp: Staff
Mail:
X
Einsatzmöglichkeiten von SSO
• Zugang zu geschützten (auch und gerade kommerziellen) elektronischen Informationsangeboten:– E-Zeitschriften, Datenbanken, E-Bücher, ...– Portale (z.B. vascoda, ReDI)– DFG-Nationallizenzen– Repositories (z.B. MyCoRe, EPrint, DSpace)
• e-Learning• e-Science• Verwaltungssysteme• Grid-Computing
Beispiel: Nationallizenzen: Die Situation heute – institutionelle Nutzer
Verlag-1
Verlag-m
Verlag-2Einrichtung-1
Einrichtung-2
z.B.ReDI
Zugangsvermittlung mitproprietären Verfahren
IP-Kontrolle
IP-Liste
IP-Liste
IP-Kontrolle
IP-Kontrolle
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Kontrolle
Nationallizenzen:Das Ziel mit Shibboleth
1x1x
NLVHO
ReWritingProxy
Verlag-1
Verlag-m
Verlag-2
Shib idp Shibsp
Shibsp
Shib idp
Shibsp
IP-Ctrl
Ggf mehrere Instanzen (Einrichtungen)
IPIP Falls Einrichtung über IP authentifiziert
IPIP
Bibliotheks-dienste
E-Learning
SeminararbeitPersonalisierte
Dienste
Verwaltungs-systeme
IdM
Das Projekt Das Projekt MyLoginMyLogin an der Uni FRan der Uni FR
Single-SignOn mit Shibboleth,ein Login für alle Dienste
Bibliotheks-dienste
E-Learning
SeminararbeitPersonalisierte
Dienste
Verwaltungs-systeme
Das Das ProjektProjekt myLoginmyLogin derder UniUni FreiburgFreiburg
Meine Dienste:
Chance und Vision:Authentifizierung & Personalisierung
Mein OLAF-Konto:
derzeit keine
4,50 Eur
51
derzeit keine
Katalogauswahl: Mein Katalog
Meine BibliothekLogout
Meine Einstellungen
Mein Fachportal
Zum Abschluss: Was haben wir?
• Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar ( bei AAR und DFN-AAI)
• -Portal (BaWü) wurde auf Shibboleth umgestellt(mit einer „internen“ Föderation, etwa 60 IdentityProvider und zwei Anbietern: CSA, GBI)
• Die Betriebssoftware IPS von vascoda ist auf Shibbolethumgestellt (Einsatz in Freiburg)
• Für den Bereich der Nationallizenzen wird z.Zt. eine VHO als Grundlage zur Einführung von Shibbolethaufgebaut (GBV Göttingen).
• Die Föderation DFN-AAI wird Mitte 2007 betriebs- und vertragsbereit sein.
Zum Abschluss: Was fehlt noch?
• Viele, viele IdM-Systeme in den Einrichtungen! • Shib-unterstützende Repositories, Autorenwerkzeuge
– Verfügbar: z.B.: EPrints, DSpace
• Shib-unterstützende E-Learning-Systeme– Verfügbar z.B. OLAP (Vorreiter: Sachsen, Schweiz)
• Shib-unterstützende Verlage– Alle Bibliotheken und Konsortien müssen mitmachen– „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann
unterstützend wirken (und tut es)
Vielen Dank für Ihre Aufmerksamkeit!
AAR ist ein Projekt der UB Freiburg.
Gefördert vom BMBF (PT-NMB+F )AAR kooperiert mit dem DFN-Verein