1 / 18

Übersicht

Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement doIT-Fachtagung, Freiburg, 10. November 2005 Ato Ruppert, UB Freiburg ruppert@ub.uni-freiburg.de. Übersicht.

marcie
Download Presentation

Übersicht

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement doIT-Fachtagung, Freiburg, 10. November 2005 Ato Ruppert, UB Freiburg ruppert@ub.uni-freiburg.de

  2. Übersicht Authentifizierung, Autorisierung, Rechteverwaltung • Wissenschaftsportale (ReDI, vascoda) • Warum AAR? • Föderationen und Rechtliches AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF (PT-FI) 2

  3. Wissenschaftportale 1 • Regionale DatenbankInformationen Baden-Württemberg (www.redi-bw.de): • Angebot insgesamt: 476 Datenbanken - Nutzung externer Verlagsserver: 142 - Windows-basierte CD-Angebote 326 • Über 60 Teilnehmereinrichtungen • Zentraler Einkauf über das Konsortium Baden-Württemberg (http://www.konsortium-bw.de) ReDI 3

  4. ReDI-Teilnehmer Die Teilnehmer in Baden-Württemberg und Gäste aus: Rheinland-Pfalz, Saarland und Bayern Anfragen aus Sachsen und NRW Crossfire-Nutzung aus Bayern seit 2001 4

  5. Wissenschaftportale 2 • vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. • vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. • Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. • An vascoda sind heute über 30 Einrichtungen mit fast 30 Angeboten beteiligt. www.vascoda.de 5

  6. Ohne AAR… 6

  7. Mit AAR… 7

  8. Was wollen wir also erreichen? Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter • Nutzer: Der Zugriff auf die lizenzierten Inhalte sollte insbesondere unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. • Einrichtungen (etwa Hochschulen): Die freie Wahl des Authentifizierungssystems und ein möglichst geringer Aufwand bei der Rechteverwaltung sind wichtig. • Anbieter: Insbesondere der Schutz ihrer lizenzpflichtigen Inhalte vor unberechtigtem Zugriff ist wichtig. 8

  9. Was ist AAR? • AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung • AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („ReferenceLinking“) • AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen • AAR baut auf Shibboleth(Internet2-Projekt) auf • AAR ergänzt Shibboleth um einen Rechteserver 9

  10. Rechteserver Der Rechteserver ist nicht Bestandteil von Shibboleth. Er soll … R • … die Attribute (der Autorisierung) auf die Nutzungsbedingungen der Anbieter abbilden • - Z.B.: „moving wall“, Embargos, Zeiteinschränkungen • - Der RS kann zentral oder dezentral (beim SP) eingesetzt werden • Der RS ist Teilprojekt unserer Projektpartner in der UB Regensburg. 10

  11. Was ist eine Föderation? • Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. • Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. 11

  12. Aufgaben einer Föderation Aufgaben einer Föderation sind: • Vorgabe von Richtlinien (Policies) • Verwaltung der Metadaten der Mitglieder • Betrieb des Lokalisierungsdienstes (WAYF) • Betrieb einer Zertifizierungsstelle • Technischer Support Aufbau einer deutschlandweiten Föderation im Rahmen des DFN wird angestrebt 12

  13. Aufbau einer Föderation Für den AufbaueinerFöderation muss (mindestens) festgelegt werden: • Organisationsstruktur • Voraussetzungen für die Mitgliedschaft • Rechte und Pflichten der Föderation und Mitglieder • Richtlinien • Aufnahmeverfahren für neue Mitglieder • Aktualisierung der Metadaten • akzeptierte (CA-)Zertifikate • Standardattribute, Datenschutz • Vorgehensweise bei Missbrauch 13

  14. Datenschutz 1 (Datenhaltung) Europäisches Recht (Art. 6): Personenbezogene Daten dürfen nur für spezielle Aufgaben verarbeitet werden! • Die Einrichtungen (=IdP) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Wissenschaft und Lehre. Daraus folgt: • Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! Also auf Seiten der Dienstanbieter (SP): • Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja • Z.B. EBAY, Kaufhäuser: Nein • Behörden: ? 14

  15. Datenschutz 2 (Weitergabe von Attributen) Europäisches Recht (Art. 7), §§18-20 LDSG: Weitergabe personenbezogener Daten nur wenn notwendig • Zur Vertragserfüllung (mit den Anbietern) • Gesetzliche Grundlagen vorliegen • Zum Schutz vitaler Interessen (der Anbieter) • Zur Erfüllung der Leistung eines Auftrages (des Anbieters) 5. Nach ausdrücklicher Zustimmung der betroffenen Person Aber: Auch eine nachträgliche Zustimmung der Person kann diein 1-4 genannten Bedingungen nicht überschreiben! 15

  16. Shibboleth-Standardattribute • Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema:http://www.incommonfederation.org/docs/policies/federatedattributes.html • Internationale Anbieter halten sich üblicherweise an diesen Standard • Service Provider kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits weitgehend vorkonfiguriert sind • Beispiele: • eduPersonScopedAffiliation (member@..., staff@...) • eduPersonTargetedID (r12345z@...) • eduPersonPrincipalName (ruppert@uni-freiburg.de) 16

  17. Stand und Ausblick • Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar • ReDI wird bis Jahresende auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 IdP) • Gespräche mit dem DFN und vascoda zur Gründung einer deutschlandweiten Föderation laufen an. • Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle SP) • Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt • Der Rechteserver wird bis Mitte 2006 als Prototyp zur Verfügung stehen. 17

  18. Danke für Ihre Aufmerksamkeit! info@aar.vascoda.de 18

More Related