Authentifizierung, Autorisierungund Rechteverwaltung
Shibboleth: Verteilte Authentifizierung,Autorisierung und Zugriffskontrolle für
elektronische Ressourcen
Österreichischer BibliothekartagBregenz, 20. September 2006
Bernd Oberknapp, UB FreiburgE-Mail: [email protected]
Bernd Oberknapp, UB Freiburg 2
Übersicht
• Das Projekt AAR• Warum AAR?• Was sind AAR und Shibboleth?• Wie funktioniert Shibboleth?• Warum Shibboleth?• Autorisierung und Zugriffskontrolle• Föderationen• Ausblick
Bernd Oberknapp, UB Freiburg 3
Das Projekt AAR
• Partner: UB Freiburg und UB Regensburg• finanziert durch das BMBF (PT-NMB+F)• eingebettet in vascoda (http://www.vascoda.de/)• Laufzeit zunächst 3 Jahre bis Ende 2007:
– 2 Jahre Entwicklungs- und Testphase mit der Regionalen Datenbank-Information Baden-Württemberg (ReDI) und vascoda als Pilotanwendungen
– 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems
• Verlängerung bis Mitte 2008 vorgesehen
Bernd Oberknapp, UB Freiburg 4
Warum AAR?
• Bibliotheken kaufen Nutzungslizenzen für vielfältige elektronische Informationsangebote:Zeitschriften, Datenbanken, Bücher, ...
• Der Zugang zu den Informationsangeboten ist heute zum Teil nur eingeschränkt möglich(IP-Kontrolle, VPN, Proxies).
• Die Einbindung der Informationsangebote in das Angebot der Bibliotheken und ihre Verknüpfung (Stichwort: Reference Linking) ist teilweise sehr aufwendig.
Bernd Oberknapp, UB Freiburg 5
Warum AAR?
Ziel ist die Verbesserung und Vereinfachung desZugangs zu den Informationsangeboten:• Nutzer: Zugriff auf lizenzierte Inhalte unabhängig vom
gewählten Arbeitsplatz und dem Zugriffsweg, Zugriff auf alle Angebote nach nur einmaliger Authentifizierung (Single Sign-on)
• Einrichtungen: freie Wahl des Authentifizierungssystems, möglichst geringer Aufwand für die Rechteverwaltung
• Anbieter: Schutz der Inhalte vor unberechtigtem Zugriff, einfacheres Angebot von personalisierten Diensten
Bernd Oberknapp, UB Freiburg 6
Was ist AAR?
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung.
• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können.
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen.
• AAR baut auf Shibboleth auf.• AAR ergänzt Shibboleth um einen Rechteserver.
Bernd Oberknapp, UB Freiburg 7
Was ist Shibboleth?
• Shibboleth ist ein Internet2/MACE-Projekt(MACE = Middleware Architecture Committee for Education)
• Shibboleth entwickelt eine– Architektur (Protokolle und Profile),– Richtlinien-Strukturen und eine– Open Source-Implementierung
für den einrichtungsübergreifenden Zugriffauf geschützte (Web-)Ressourcen
Bernd Oberknapp, UB Freiburg 8
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament,Buch Richter, Kapitel 12, Vers 5ff:
Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)
Das Wort „Shibboleth“ war somit wohl das erstebiometrische Autorisierungsverfahren!
Bernd Oberknapp, UB Freiburg 9
Wie funktioniert Shibboleth?(Erstkontakt)
Heimateinrichtung(Identity-Provider)
Benutzerin
Anbieter(Service-Provider)
Benutzerin bekannt?(1)
(4) Benutzerin berechtigt?(6)
(7)
(8)
gestattet
verweigertZugriff
(9)ja
nein
neinLokalisierungsdienst(WAYF, IdP Discovery)
(2)(3)
(5) Login
Bernd Oberknapp, UB Freiburg 10
Wie funktioniert Shibboleth?(Folgekontakt, gleicher Anbieter)
Heimateinrichtung(Identity-Provider)
Benutzerin
Anbieter(Service-Provider)
Benutzerin bekannt?(1)
Benutzerin berechtigt?
gestattet
verweigertZugriff
(9)ja
nein
ja
(2)
Bernd Oberknapp, UB Freiburg 11
Wie funktioniert Shibboleth?(Folgekontakt, anderer Anbieter)
Heimateinrichtung(Identity-Provider)
Benutzerin
Anbieter(Service-Provider)
Benutzerin bekannt?(1)
(4) Benutzerin berechtigt?(6)
(7)
(8)
gestattet
verweigertZugriff
(9)ja
nein
ja
neinLokalisierungsdienst(WAYF, IdP Discovery)
(2)(3)
Bernd Oberknapp, UB Freiburg 12
Warum Shibboleth?
• einrichtungsübergreifendes Single Sign-On• Autorisierung und Zugriffskontrolle über Attribute
mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten
• basiert auf bewährter Software (Apache, Tomcat, OpenSSL) und Standards (SAML)
• Aufwand für Integration mit vorhandenem Identity-Management und (webbasierten) Anwendungen ist in vielen Fällen vergleichsweise gering
• weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, CSA, Ovid, GENIOS, ...)
Bernd Oberknapp, UB Freiburg 13
Anwendungsmöglichkeiten
• Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten:– Zeitschriften, Datenbanken, Bücher, ...– Portale: ReDI, vascoda, Virtuelle Fachbibliotheken, ...– Repositories: MyCoRe, EPrints, ...– DFG-Nationallizenzen
• e-Learning• e-Science• Verwaltungssysteme• Grid-Computing
Bernd Oberknapp, UB Freiburg 14
Autorisierung und Zugriffskontrolle
• Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth:– Identity-Provider stellen mit Attributen die notwendigen
Informationen über ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer
Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.
• Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!
• Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!
Bernd Oberknapp, UB Freiburg 15
Standard-Attribute
• InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben.
• Andere Föderationen und internationale Anbieter orientieren sich üblicherweise an diesem Standard.
• Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, häufig verwendet werden:– eduPersonAffiliation: member, faculty, staff, student, ...– eduPersonEntitlement: beliebige Rechteinformationen, z.B.
urn:mace:dir:entitlement:common-lib-terms– eduPersonPrincipalName: „Net-ID“ des Benutzers – eduPersonTargetedID: eindeutiges Pseudonym des Benutzers
für einen Anbieter, z.B. für Personalisierung
Bernd Oberknapp, UB Freiburg 16
Attribute und Datenschutz
• Attribute können personenbezogene Daten sein (Beispiele: Benutzerkennung, E-Mailadresse).
• Personenbezogene Daten dürfen nach den (EU-) Datenschutzbestimmungen nur weitergegeben werden, wenn dies für die Erbringung des Dienstes notwendig ist und der Benutzer der Weitergabe ausdrücklich zustimmt.
• Die Weitergabe der Attribute wird in Shibboleth über Attribute Release Policies auf Einrichtungs-, Gruppen- und Benutzerebene (sehr intuitiv über „Visitenkarten“ mit ShARPE/Autograph) gesteuert.
Bernd Oberknapp, UB Freiburg 17
Zugriffskontrolle mit Rechteserver
Der Rechteserver• kann für die Zugriffskontrolle
eingesetzt werden (auchunabhängig von Shibboleth)
• ermöglicht die Abbildung vonAutorisierungsinformationenauf komplexe Nutzungsbe-dingungen wie Moving Walls,Embargos und sonstige (zeitliche) Beschränkungen
• kann lokal (beim Anbieter) oder zentral eingesetzt werden• ist das Teilprojekt unseres Projektpartners UB Regensburg
Rechteserver
Bernd Oberknapp, UB Freiburg 18
Was ist eine Föderation?
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das notwendige Vertrauens-verhältnis zwischen Einrichtungen und Anbietern und den organisatorischen Rahmen für den Austausch von Benutzerinformationen.
• Unter Koordination des DFN wird eine deutschland-weite Föderation (DFN-AAI) als Dienst des DFN aufgebaut.
Bernd Oberknapp, UB Freiburg 19
Aufbau einer Föderation
• Festlegung des Rahmens für die Föderation:– Gremien, Befugnisse, Vertragsprinzipien– Voraussetzungen für die Mitgliedschaft– Rechte und Pflichten der Föderation und der Mitglieder– Richtlinien (Policies), insbesondere für den Austausch
von Attributen und für Zertifikate• Aufbau der Betriebsstrukturen:
– Verwaltung der Metadaten (Informationen über Identity- und Service-Provider und Zertifikate – fundamental für Vertrauen und Sicherheit in der Föderation!)
– zentrale Dienste (Lokalisierungsdienst, Testumgebung)– technischer Support
Bernd Oberknapp, UB Freiburg 20
Ausblick: AAR „ToDo-Liste“
• Aufbau der DFN-AAI in Kooperation mit dem DFN• Unterstützung von Hochschulen und Anbietern bei
der Einführung von Shibboleth, insbesondere• Einführung von Shibboleth und Rechteserver für das
vascoda-Portal und Virtuelle Fachbibliotheken, zunächst Pilotinstallation mit HBZ Köln (vacoda-Portal), IZ Sozialwissenschaften (Infoconnex) und DIPF (Fachportal Pädagogik)
• Übergabe des Betriebs der Identity-Provider an die Hochschulen in Baden-Württemberg bzw. an das BSZ Konstanz (Hosting für Horizon-Bibliotheken)
Bernd Oberknapp, UB Freiburg 21
Ausblick: Shibboleth 2.x
• Zeitrahmen für Shibboleth 2.0: Anfang 2007?• erweiterte Authentifizierungsfunktionalität• Single Logout (technisch schwer umzusetzen!)• Java Service-Provider • Schnittstelle für ShARPE/Autograph• Verbessertes IdP Discovery-Verfahren?• Delegation (WS Federation?)• Einbindung nicht webbasierter Dienste
Bernd Oberknapp, UB Freiburg 22
Weitere Informationen
• AAR-Webseite: http://aar.vascoda.de/• AAR-Team: [email protected]• Nächster AAR-Workshop:
10. Oktober 2006 in Freiburg
Vielen Dank für Ihre Aufmerksamkeit!