1 / 17

Projektübersicht AAR und Einführung in die Thematik

Projektübersicht AAR und Einführung in die Thematik Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR) Ato Ruppert UB Freiburg 2. Shibboleth-Workshop 23. März 2006. Fragestellung und Motivation. Suche nach wissenschaftlicher Information im Internet

shandi
Download Presentation

Projektübersicht AAR und Einführung in die Thematik

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Projektübersicht AAR und Einführung in die Thematik Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR) Ato Ruppert UB Freiburg 2. Shibboleth-Workshop 23. März 2006

  2. Fragestellung und Motivation • Suche nach wissenschaftlicher Information im Internet • Quelle wird gefunden, aber… • …Zugang nur gegen Passwort oder Zahlung ->Wiss. Bibliotheken kaufen Nutzungslizenzen für elektronische Informationen. Daher ist der Zugang über die Bibliotheken i.d.R. möglich. 2

  3. Wissenschaftportale 1 • vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. • vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. • Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. • An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt. www.vascoda.de 3

  4. Wissenschaftportale 2 • Regionale DatenbankInformationen Baden-Württemberg (www.redi-bw.de): • Angebot insgesamt: 493 Datenbanken - Nutzung externer Verlagsserver: 147 - Windows-basierte CD-Angebote 337 - Reference-Linking zu den Volltexten • Über 60 Teilnehmereinrichtungen ReDI 4

  5. Was also wollen wir erreichen? Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter • Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. • Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. • Anbieter:Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. 5

  6. Was ist AAR? • AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung • AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“) • AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen • AAR baut auf Shibboleth(Internet2-Projekt) auf • AAR ergänzt Shibboleth um einen Rechteserver 6

  7. Woher kommt „Shibboleth“?(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm) Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: • Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen ! 7

  8. Was ist eine Föderation? • Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. • Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. • Unter Koordination des DFN wird eine deutschlandweite Föderation aufgebaut (DFN-AAI). • Am 14. März 2006 wurde in Berlin eine Arbeitsgruppe zum Aufbau der Föderation gebildet. Mitglieder sind: DFN, AAR, Bibliotheken, GRID-Gruppen, CERT, RZ‘s, u.a. • DFN und AAR haben internationale Kontakte zu Internet2, Switch, Haka, MAMS. Das Projekt ist koordiniert mit anderen europäischen Aktivitäten (z.B. Terena, Geant2). 8

  9. Teilnehmer der Föderation und ihre Rollen • Mitglieder (Unis, FHs, etc): • Einrichtung = Identity Provider (IdP) • Anbieter (etwa eLearning-Angebote) = Service Provider (SP) • Partner • Anbieter (auch kommerzielle!) = Service Provider (SP) • Steuerungsgremien • Überwachung und Entscheidung • Operator • Koordinationsdienst für die Föderationsverwaltung • Technische Dienste 9

  10. Beispiel: Haka/Finnland(Quelle: Mikael Linden, CSC) Die Organisationsstruktur von Haka entspricht der von SWITCHaai Operator CSC – scientific computing ltd Central AAI services Federation members Federation partners Advisory comm. Operations comm. IdP Palvelu IdP Palvelu Palvelu IdP Palvelu Palvelu SP SP Palvelu SP SP SP SP 10

  11. Datenschutz 1 (Datenhaltung) Europäisches Recht (Art. 6): PersonenbezogeneDaten dürfen nur für spezielle Aufgaben verarbeitet werden! • Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre. Daraus folgt: • Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so) Auf Seiten der (auch kommerziellen) Dienstanbieter (SP): • Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja • Z.B. EBAY, Kaufhäuser: Einschränkungen sind denkbar • Behörden: ? 11

  12. Datenschutz 2 (Weitergabe von Attributen) Europäisches Recht (Art. 7), §§18-20 LDSG-BW: Weitergabe personenbezogener Daten nur wenn notwendig • Zur Vertragserfüllung (mit den Anbietern) • Gesetzliche Grundlagen vorliegen • Zum Schutz vitaler Interessen (der Anbieter) • Zur Erfüllung der Leistung eines Auftrages (des Anbieters) • und 5. Nach ausdrücklicher Zustimmung der betroffenen Person 12

  13. Vorgabe von Richtlinien (Policies) Verwaltung Metadaten der Mitglieder Betrieb eines Lokalisierungsdienstes Betrieb einer Zertifizierungsstelle Betrieb einer Testumgebung Technischer Support Status in Arbeit in Arbeit verfügbar: AAR verfügbar: DFN verfügbar: AAR verfügbar: AAR Dienste des Föderationsoperators 13

  14. Anwendungsmöglichkeiten • Portale: vascoda, ReDI … • Verwaltungssysteme • eScience-Projekte • eLearning-Systeme • Repositories, z.B. MyCoRe • Grid-Computing • Öffentliches Angebot der DFG-Nationallizenzen (Planung: Realisierung bis Ende Mai 2006) 14

  15. Nationallizenzen: Die Situation heute – institutionelle Nutzer IP-Liste IP-Liste Zugangsvermittlung mit proprietären Verfahren z.B. ReDI IP-Kontrolle Verlag-1 Einrichtung-1 Verlag-2 IP-Kontrolle IP-Liste IP-Liste IP-Liste IP-Kontrolle IP-Kontrolle Einrichtung-2 Verlag-m IP-Liste IP-Liste 15

  16. Ziel mit AAR NL VHO 1x Shib idp Shib sp Verlag-1 IP- Ctrl Shib sp ReWriting Proxy (HAN) Verlag-2 Ggf mehrere Instanzen (Einrichtungen) Shib sp Verlag-m Shib idp IP Falls Einrichtung über IP authentifiziert www.nationallizenzen.de 16

  17. Danke für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF (PT-NMB+F ) aar.vascoda.de info@aar.vascoda.de ruppert@ub.uni-freiburg.de 17

More Related