Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen.

Published by Modified over 9 years ago

Similar presentations

Presentation on theme: "Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen."— Presentation transcript:

1 Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen Österreichischer Bibliothekartag Bregenz, 20. September 2006 Bernd Oberknapp, UB Freiburg E-Mail: bo@ub.uni-freiburg.de

2 2 Bernd Oberknapp, UB Freiburg Übersicht Das Projekt AAR Warum AAR? Was sind AAR und Shibboleth? Wie funktioniert Shibboleth? Warum Shibboleth? Autorisierung und Zugriffskontrolle Föderationen Ausblick

3 3 Bernd Oberknapp, UB Freiburg Das Projekt AAR Partner: UB Freiburg und UB Regensburg finanziert durch das BMBF (PT-NMB+F)PT-NMB+F eingebettet in vascoda (http://www.vascoda.de/)http://www.vascoda.de/ Laufzeit zunächst 3 Jahre bis Ende 2007: –2 Jahre Entwicklungs- und Testphase mit der Regionalen Datenbank-Information Baden-Württemberg (ReDI) und vascoda als Pilotanwendungen –1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems Verlängerung bis Mitte 2008 vorgesehen

4 4 Bernd Oberknapp, UB Freiburg Warum AAR? Bibliotheken kaufen Nutzungslizenzen für vielfältige elektronische Informationsangebote: Zeitschriften, Datenbanken, Bücher,... Der Zugang zu den Informationsangeboten ist heute zum Teil nur eingeschränkt möglich (IP-Kontrolle, VPN, Proxies). Die Einbindung der Informationsangebote in das Angebot der Bibliotheken und ihre Verknüpfung (Stichwort: Reference Linking) ist teilweise sehr aufwendig.

5 5 Bernd Oberknapp, UB Freiburg Warum AAR? Ziel ist die Verbesserung und Vereinfachung des Zugangs zu den Informationsangeboten: Nutzer: Zugriff auf lizenzierte Inhalte unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg, Zugriff auf alle Angebote nach nur einmaliger Authentifizierung (Single Sign-on) Einrichtungen: freie Wahl des Authentifizierungssystems, möglichst geringer Aufwand für die Rechteverwaltung Anbieter: Schutz der Inhalte vor unberechtigtem Zugriff, einfacheres Angebot von personalisierten Diensten

6 6 Bernd Oberknapp, UB Freiburg Was ist AAR? AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung. AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können. AAR basiert auf einem föderativen Ansatz: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen. AAR baut auf Shibboleth auf. AAR ergänzt Shibboleth um einen Rechteserver.

7 7 Bernd Oberknapp, UB Freiburg Was ist Shibboleth? Shibboleth ist ein Internet2/MACE-Projekt (MACE = Middleware Architecture Committee for Education) Shibboleth entwickelt eine –Architektur (Protokolle und Profile), –Richtlinien-Strukturen und eine –Open Source-Implementierung für den einrichtungsübergreifenden Zugriff auf geschützte (Web-)Ressourcen

8 8 Bernd Oberknapp, UB Freiburg Woher kommt „Shibboleth“? Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter, Kapitel 12, Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. (Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm Das Wort „Shibboleth“ war somit wohl das erste biometrische Autorisierungsverfahren!

9 9 Bernd Oberknapp, UB Freiburg Wie funktioniert Shibboleth? (Erstkontakt) Heimateinrichtung (Identity-Provider) Benutzerin Anbieter (Service-Provider) Benutzerin bekannt? (1) (4) Benutzerin berechtigt? (6) (7) (8) gestattet verweigert Zugriff (9) ja nein Lokalisierungsdienst (WAYF, IdP Discovery) (2) (3) (5) Login

10 10 Bernd Oberknapp, UB Freiburg Wie funktioniert Shibboleth? (Folgekontakt, gleicher Anbieter) Heimateinrichtung (Identity-Provider) Benutzerin Anbieter (Service-Provider) Benutzerin bekannt? (1) Benutzerin berechtigt? gestattet verweigert Zugriff (9) ja nein ja (2)

11 11 Bernd Oberknapp, UB Freiburg Wie funktioniert Shibboleth? (Folgekontakt, anderer Anbieter) Heimateinrichtung (Identity-Provider) Benutzerin Anbieter (Service-Provider) Benutzerin bekannt? (1) (4) Benutzerin berechtigt? (6) (7) (8) gestattet verweigert Zugriff (9) ja nein ja nein Lokalisierungsdienst (WAYF, IdP Discovery) (2) (3)

12 12 Bernd Oberknapp, UB Freiburg Warum Shibboleth? einrichtungsübergreifendes Single Sign-On Autorisierung und Zugriffskontrolle über Attribute mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten basiert auf bewährter Software (Apache, Tomcat, OpenSSL) und Standards (SAML) Aufwand für Integration mit vorhandenem Identity- Management und (webbasierten) Anwendungen ist in vielen Fällen vergleichsweise gering weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, CSA, Ovid, GENIOS,...)

13 13 Bernd Oberknapp, UB Freiburg Anwendungsmöglichkeiten Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten: –Zeitschriften, Datenbanken, Bücher,... –Portale: ReDI, vascoda, Virtuelle Fachbibliotheken,... –Repositories: MyCoRe, EPrints,... –DFG-Nationallizenzen e-Learning e-Science Verwaltungssysteme Grid-Computing

14 14 Bernd Oberknapp, UB Freiburg Autorisierung und Zugriffskontrolle Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth: –Identity-Provider stellen mit Attributen die notwendigen Informationen über ihre Benutzer zur Verfügung. –Service-Provider werten die Attribute anhand ihrer Regeln aus und gestatten oder verweigern je nach Ergebnis den Zugriff. Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden! Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!

15 15 Bernd Oberknapp, UB Freiburg Standard-Attribute InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben.eduPersonStandard Andere Föderationen und internationale Anbieter orientieren sich üblicherweise an diesem Standard. Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, häufig verwendet werden: –eduPersonAffiliation: member, faculty, staff, student,... –eduPersonEntitlement: beliebige Rechteinformationen, z.B. urn:mace:dir:entitlement:common-lib-termsurn:mace:dir:entitlement:common-lib-terms –eduPersonPrincipalName: „Net-ID“ des Benutzers –eduPersonTargetedID: eindeutiges Pseudonym des Benutzers für einen Anbieter, z.B. für Personalisierung

16 16 Bernd Oberknapp, UB Freiburg Attribute und Datenschutz Attribute können personenbezogene Daten sein (Beispiele: Benutzerkennung, E-Mailadresse). Personenbezogene Daten dürfen nach den (EU-) Datenschutzbestimmungen nur weitergegeben werden, wenn dies für die Erbringung des Dienstes notwendig ist und der Benutzer der Weitergabe ausdrücklich zustimmt. Die Weitergabe der Attribute wird in Shibboleth über Attribute Release Policies auf Einrichtungs-, Gruppen- und Benutzerebene (sehr intuitiv über „Visitenkarten“ mit ShARPE/Autograph) gesteuert.ShARPE/Autograph

17 17 Bernd Oberknapp, UB Freiburg Zugriffskontrolle mit Rechteserver Der Rechteserver kann für die Zugriffskontrolle eingesetzt werden (auch unabhängig von Shibboleth) ermöglicht die Abbildung von Autorisierungsinformationen auf komplexe Nutzungsbe- dingungen wie Moving Walls, Embargos und sonstige (zeitliche) Beschränkungen kann lokal (beim Anbieter) oder zentral eingesetzt werden ist das Teilprojekt unseres Projektpartners UB Regensburg Rechteserver

18 18 Bernd Oberknapp, UB Freiburg Was ist eine Föderation? Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das notwendige Vertrauens- verhältnis zwischen Einrichtungen und Anbietern und den organisatorischen Rahmen für den Austausch von Benutzerinformationen. Unter Koordination des DFN wird eine deutschland- weite Föderation (DFN-AAI) als Dienst des DFN aufgebaut.

19 19 Bernd Oberknapp, UB Freiburg Aufbau einer Föderation Festlegung des Rahmens für die Föderation: –Gremien, Befugnisse, Vertragsprinzipien –Voraussetzungen für die Mitgliedschaft –Rechte und Pflichten der Föderation und der Mitglieder –Richtlinien (Policies), insbesondere für den Austausch von Attributen und für Zertifikate Aufbau der Betriebsstrukturen: –Verwaltung der Metadaten (Informationen über Identity- und Service-Provider und Zertifikate – fundamental für Vertrauen und Sicherheit in der Föderation!) –zentrale Dienste (Lokalisierungsdienst, Testumgebung) –technischer Support

20 20 Bernd Oberknapp, UB Freiburg Ausblick: AAR „ToDo-Liste“ Aufbau der DFN-AAI in Kooperation mit dem DFN Unterstützung von Hochschulen und Anbietern bei der Einführung von Shibboleth, insbesondere Einführung von Shibboleth und Rechteserver für das vascoda-Portal und Virtuelle Fachbibliotheken, zunächst Pilotinstallation mit HBZ Köln (vacoda- Portal), IZ Sozialwissenschaften (Infoconnex) und DIPF (Fachportal Pädagogik) Übergabe des Betriebs der Identity-Provider an die Hochschulen in Baden-Württemberg bzw. an das BSZ Konstanz (Hosting für Horizon-Bibliotheken)

21 21 Bernd Oberknapp, UB Freiburg Ausblick: Shibboleth 2.x Zeitrahmen für Shibboleth 2.0: Anfang 2007? erweiterte Authentifizierungsfunktionalität Single Logout (technisch schwer umzusetzen!) Java Service-Provider Schnittstelle für ShARPE/Autograph Verbessertes IdP Discovery-Verfahren? Delegation (WS Federation?) Einbindung nicht webbasierter Dienste

22 22 Bernd Oberknapp, UB Freiburg Weitere Informationen AAR-Webseite: http://aar.vascoda.de/http://aar.vascoda.de/ AAR-Team: info@aar.vascoda.deinfo@aar.vascoda.de Nächster AAR-Workshop: 10. Oktober 2006 in Freiburg Vielen Dank für Ihre Aufmerksamkeit!

Download ppt "Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen."

Similar presentations

Similar presentations

Visualisierung der Funktionsweise des Programms auf S. 9 des Skripts

Visualisierung der Funktionsweise des Programms auf S. 9 des Skripts
Fachbereich Elektrotechnik und Informationstechnik

Fachbereich Elektrotechnik und Informationstechnik
A question of German... 1 2 3 4 5 6 7 8 9 10 11 12.

A question of German
Präpositionen!!!!. bis until durch through für for.

Präpositionen!!!!. bis until durch through für for.
There are a number of set phrases in both English and German that consist of a verb + a certain preposition but these phrases differ between the two languages.

There are a number of set phrases in both English and German that consist of a verb + a certain preposition but these phrases differ between the two languages.
Eine schöne Reise mit Jesus Durch ihr sind wir satt und hungrig In ihr sind wir Fastende Von Woche zu Woche.

Eine schöne Reise mit Jesus Durch ihr sind wir satt und hungrig In ihr sind wir Fastende Von Woche zu Woche.
Vorbilder in der Bibel Johannes der Täufer. Die Geburt von Johannes Die Geburt von Johannes dem Täufer war ein Wunder. Obwohl seine Eltern sehr alt waren,

Vorbilder in der Bibel Johannes der Täufer. Die Geburt von Johannes Die Geburt von Johannes dem Täufer war ein Wunder. Obwohl seine Eltern sehr alt waren,
WAS LERNEN WIR UND WARUM? What are we learning and why?

WAS LERNEN WIR UND WARUM? What are we learning and why?
© NFA, Neuromuscular Functional Assessment: Funktionelle Neurologie und Rehabilitation, Hans Garten, 2011 No Go Smiley Dieses Programm kannst du benutzen,

© NFA, Neuromuscular Functional Assessment: Funktionelle Neurologie und Rehabilitation, Hans Garten, 2011 No Go Smiley Dieses Programm kannst du benutzen,
Von Spencer Petersen und Kellen Knight. Dative and accusative prepositions are so named because the prepositional phrase that the preposition makes is.

Von Spencer Petersen und Kellen Knight. Dative and accusative prepositions are so named because the prepositional phrase that the preposition makes is.
Grundsätze und Herausforderungen der E-Mail-Archivierung | SER Forum | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2007

Grundsätze und Herausforderungen der -Archivierung | SER Forum | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2007
ECM - Status Quo und Vision | IBM FileNet Anwenderkonferenz | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2007

ECM - Status Quo und Vision | IBM FileNet Anwenderkonferenz | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2007
Dokumenten-Management in der öffentlichen Verwaltung - Vision oder Elektrifizierung des Status Quo? | DMS´99 | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 1999

Dokumenten-Management in der öffentlichen Verwaltung - Vision oder Elektrifizierung des Status Quo? | DMS´99 | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 1999
Die virtuelle Zukunft der öffentlichen Verwaltung - und wo bleibt der Mensch? | DIZ | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 1999

Die virtuelle Zukunft der öffentlichen Verwaltung - und wo bleibt der Mensch? | DIZ | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 1999
Der DMS-Markt im Wandel der Zeit: Tendenzen und Auswirkungen | DOMEA Anwenderforum | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 1999

Der DMS-Markt im Wandel der Zeit: Tendenzen und Auswirkungen | DOMEA Anwenderforum | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 1999
Vom traditionellen Workflow zum Internet-basierten e-Process | CeBIT Jetform | Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2000

Vom traditionellen Workflow zum Internet-basierten e-Process | CeBIT Jetform | Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2000
Pressekonferenz | AIIM DMS EXPO 2002 | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2002

Pressekonferenz | AIIM DMS EXPO 2002 | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2002
P R O J E C T C O N S U L T ECM als Unternehmensinfrastruktur

P R O J E C T C O N S U L T ECM als Unternehmensinfrastruktur
Markt und Trends für ECM, BPM und DRT | FileNet Anwenderkonferenz | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2002

Markt und Trends für ECM, BPM und DRT | FileNet Anwenderkonferenz | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2002
ECM Enterprise Content Management | IXOS Kundenforum | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2003

ECM Enterprise Content Management | IXOS Kundenforum | Dr. Ulrich Kampffmeyer | PROJECT CONSULT Unternehmensberatung | 2003
Ads by Google