eine föderierte aa-infrastruktur erleichtert die integration von internet diensten
DESCRIPTION
Eine föderierte AA-Infrastruktur erleichtert die Integration von Internet Diensten. Berlin 29. Mai 2006. Thomas Lenggenhager SWITCH, Zürich. Ato Ruppert UB Freiburg. Ü bersicht. Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation - PowerPoint PPT PresentationTRANSCRIPT
1
Eine föderierte AA-Infrastrukturerleichtert die
Integration von Internet Diensten
Ato Ruppert
UB Freiburg Berlin
29. Mai 2006
Thomas Lenggenhager
SWITCH, Zürich
2
Übersicht
•Motivation AAI
•Der Lösungsansatz Shibboleth
•Die Projekte SWITCHaai und AAR (DFN-AAI)
•Die Föderation
•Rechtliche und organisatorische Rahmenbedingungen
•Schritte zur Umsetzung
3
Single Sign-On im Wiki
• Vorteile– Zeitersparnis, da nur noch eine einzige Authentifizierung
notwendig ist, um auf alle Systeme zugreifen zu können – Sicherheitsgewinn, da sich Benutzer nur noch ein Passwort
merken müssen und nicht mehrere, die sie sich nicht merken können.
– Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss
• Nachteile– Kann ein Angreifer die Identität eines Benutzers entwenden,
so stehen ihm sofort alle Systeme, auf die dieser Benutzer Zugriff hat, zur Verfügung. Daher ist es sinnvoll, eine Form der biometrischen Authentifizierung zu verwenden, um potenziellen Angreifern das Eindringen zu erschweren.
4
SSO in deutschen Hochschulen und Forschungseinrichtungen?
• Innerhalb von einzelnen Einrichtungen im Aufbau• Einrichtungsübergreifend sind (mir) nur wenige
Dienste bekannt. (SaxIS/Bildungsportal Sachsen, ReDI/BW)
• Vielerorts als „Vision“ erwähnt
• Die Voraussetzungen werden derzeit (fast) überall geschaffen: IdentityManagement-Systeme
2006 © SWITCH 5
Swiss Virtual Campus als AAI Motivator
Ziel des Swiss Virtual Campus•E-Learning an Universitäten fördern•Kurse mit hoher Qualität entsprechend jenen
der besten Institutionen auf ihrem Gebiet.
• 2000 – 2003 Impulsprogramm•≥ 3 teilnehmende Hochschulen pro Projekt•50 Projekte•~ 40 Mio CHF (24 Mio EUR)
Bedarf für koordinierte Authentisierung der Benutzer
• 2004 – 2007 Konsolidierungsprogramm
http://virtualcampus.ch
6
Wissenschaftportale zur Vermittlung von Informationen
Das Beispiel vascoda
• vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland.
• vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen.
• Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt.
• An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt.
www.vascoda.de
7
8
9
10
11
12
13
Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter
• Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen.
• Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.
• Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden.
Was wollen wir erreichen?
14
Übersicht
•Motivation AAI
•Der Lösungsansatz Shibboleth
•Die Projekte SWITCHaai und AAR (DFN-AAI)
•Die Föderation
•Rechtliche und organisatorische Rahmenbedingungen
•Schritte zur Umsetzung
2006 © SWITCH 15
AutorisierungBenutzerverwaltung
AuthentifizierungRessource Passwort
•Aufwändige Registrierung bei allen Ressourcen
•Unzuverlässige und veraltete Daten
•VerschiedeneLogin-Verfahren
•Viele Passworte
•Viele Ressourcen werden nicht geschützt
•Wenn geschützt, dann oft nur durch IP-Adressen
Ohne Shibboleth
Universität A
Bibliothek B
Universität C
Stud. Admin.
Web Mail
e-Learning
Literatur DB
e-Learning
Research DB
e-Zeitschriften
2006 © SWITCH 16
AutorisierungBenutzerverwaltung
AuthentifizierungRessource Passwort
•Registrierung bei denRessourcen entfällt
•EinheitlichesLogin-Verfahren
•Single-Sign-On
•Erschliesst Benutzernneue Ressourcen
•Standort-unabhängig
Mit Shibboleth
Universität A
Bibliothek B
Universität C
Shibboleth
Stud. Admin.
Web Mail
e-Learning
Literatur DB
e-Learning
Research DB
e-Zeitschriften
2006 © SWITCH 17
Shibboleth
• Federated Identity ManagementArchitektur und Implementation
• Open Source Lizenz
• Basiert auf SAML:Security Assertion Markup Language
• Wird durch Internet2 entwickelt
http://shibboleth.internet2.edu
QuickTime™ and aTIFF (Uncompressed) decompressor
are needed to see this picture.
18
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff:
Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.
Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen
(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)
19
Heimateinrichtung
Benutzerin
Anbieter 1
authentifiziert?
(1)
(4)(5) Benutzerin berechtigt?
(6)
(7)
(8)verweigertnein
ja
neinLokalisierungsdienstWAYF
(2)(3)
Wie funktioniert Shibboleth?(Erstkontakt)
(9)gestattet Zugriffja
20
Heimateinrichtung
Benutzerin
Anbieter 1
authentifiziert?(1)
verweigertnein
ja
nein(2)
Wie funktioniert Shibboleth?(Folgekontakt gleicher Anbieter)
(9)gestattet Zugriffja
Benutzerin berechtigt?
21
Heimateinrichtung
Benutzerin
Anbieter 2
authentifiziert?(1)
(4) Benutzerin berechtigt?(6)
(7)
(8)verweigertnein
ja
neinLokalisierungsdienst(2)
Wie funktioniert Shibboleth?(Folgekontakt neuer Anbieter)
(9)gestattet Zugriffja
2006 © SWITCH 22
Bestehende digitale Identitäten können
auch ausserhalb einer Organisation
für Authentisierung und Autorisierung genutzt werden
Föderation
Heim Organisation
Ressourcen
Bestehendes Vertrauen
SP Service Providers
IdP Identity Providers
Federated Identity Management
2006 © SWITCH 23
Identity Management
• Kein Federated Identity Managementohne lokales Identity Management !
• Damit eine Universität AAI sinnvoll nutzen kannbenötigt sie ein lokales Identity Management
•Prozesse für Eintritte / Mutationen / Austritte
•Datenzusammenführung (Meta-Directory)
•Verzeichnisdienst
2006 © SWITCH 24
Unterstützte Schnittstellen:• Authentisierungs System•Alle die mit Apache oder Tomcat
integriert werden können•Unter Windows:•Kerberos AuthN mit Active Directory•Windows AuthN mit IIS
• Benutzerverzeichnis•JNDI (z.B. OpenLDAP, AD)•JDBC (SQL Datenbanken)
Identity Provider Integration
AuthN = AuthentisierungDer Shibboleth IdP ist in Java geschrieben
BenutzerVerzeichnis
AuthentisierungsSystem
AAI
Identity Providermit AAI
2006 © SWITCH 25
Service Provider Integration
Normalfall
Web Server:• Apache 1 & 2
•Tomcat via mod_jk• Microsoft IIS
Autorisierung (AuthZ) • Anwendungen werden durch
Regeln geschützt• Anwendungen verwenden die
Benutzer-Attribute zur Zugangsbeschränkung
AAI
Web Server
WebAnwen-
dung
Service Providermit AAI
Der Shibboleth SP ist in C++ geschrieben
Shibboleth 2 bringt zusätzlich Java SP
2006 © SWITCH 26
SAML
Security Assertion Markup Language
• OASIS Standard http://www.oasis-open.org
• basiert auf XML
• definiert das Format für Aussagen zu• Identitäten
• Attribute
• Berechtigungen
• SAML 2.0 (2005) basiert auf Praxis-Erfahrung von
•Liberty Alliance http://www.projectliberty.org
ID-FF Identity Federation Framework
•Shibboleth http://shibboleth.internet2.edu
• Steigende Akzeptanz
2006 © SWITCH 27
Interoperabilität
Koordination ist das non-plus-ultra !
• Bilaterale Interoperabilität ist möglich, skaliert aber nicht
• Bestehendes Vertrauen zwischen Organisationensoll für AAI gesichert werden:
• Verträge, Vereinbarungen und Regeln
• Technische Vorkehren:
• Verwendete Standards
• Digitale Server Zertifikate (X.509)für geschützte Kommunikation
• Konfigurationsdaten der akzeptierten Partner
• Interpretation der auszutauschenden Daten
• Persönliches Netzwerk der Beteiligten
2006 © SWITCH 28
Stand Shibboleth International
• Etablierte nationale FöderationFinnland (HAKA), Schweiz (SWITCHaai), USA (InCommon)
• Nationale Föderation im Werden
• im Aufbau UK (Access Management Federation)
• in VorbereitungAustralien (MAMS Testbed)Dänemark, Deutschland, Schweden (SWIF)
• Koordination um regionale AktivitätenBelgien, Frankreich (CRU)
• Wachsendes Interesse in weiteren Ländern,aber noch keine Entscheidungen bekannt
2006 © SWITCH 29
AAI neben Shibboleth?
• Etablierte nationale Föderation
•Kroatien ([email protected])Proprietäre Lösung um LDAP
•Niederlande (SURFnet)Verwendet A-Select, kann nun auf Shibboleth SP zugreifen
•Norwegen (FEIDE)Verwendet Moria, wechselt zu SAML 2 (Sun Identity Provider), Zugriff auf Shibboleth SP geplant
•Spanien (RedIRIS)Verwendet PAPI, Zugriff auf Shibboleth SP geplant
30
Unterstützung von Shibboleth bei Dienstanbietern
• ArtSTOR• Blackboard• Bodington.org• CSA• Darwin Streaming Server• Digitalbrain PLC• eAcademy• EBSCO Publishing• Elsevier Science Direct• ExLibris-SFX• Fedora• Higher Markets• Horde• Hupnet• ILIAS
• JSTOR• Moodle• Napster• NSDL• OCLC• OLAT• Ovid Technologies Inc.• Proquest Information
and Learning• Serials Solutions• SYMPA• ThomsonGale• TWiki• Useful Utilities-EZproxy• Web Assign• WebCT
– Infoconnex
– vascoda
– ReDI
– SaxIS
– FIZ-Technik
– FIZ-Karlsruhe
Index of Shibboleth-Enabled Applications and Services (Quelle: internet2)
in Deutschland:
31
Übersicht
•Motivation AAI
•Der Lösungsansatz Shibboleth
•Die Projekte SWITCHaai und AAR (DFN-AAI)
•Die Föderation
•Rechtliche und organisatorische Rahmenbedingungen
•Schritte zur Umsetzung
2006 © SWITCH 32
Das SWITCHaai Projekt
• Die Stiftung SWITCH
• SWITCHaai
•Projektverlauf
•Projektstand
•Die Virtuelle Heim Organisation – VHO
•Projektfinanzierung
2006 © SWITCH 33
Die Stiftung SWITCH
•SWITCH ist eine Stiftung des Bundes und der
Hochschul-Kantone
•Teleinformatikdienste für Lehre und Forschung
•Netzwerk: Planung & Betrieb des Backbones
•NetServices: e-Conferencing & Content Delivery
•Security: CERT, PKI & Middleware (AAI, Grid & Roaming)
•Domain Registration für .ch und .li
•Total 70 Mitarbeiter
•Outsourcing für Helpdesk und Billing der Domain
Registration
2006 © SWITCH 34
2001 2002 2003 2004 2005 2006 2007
ImplementationPilot Produktiver Betrieb Studie
ArchitekturEvaluation
Shibboleth
Studie, Planung …
SWITCHaai Projektverlauf
Nov 1999: Term AAI das erste Mal in einem Dokument verwendetNov 2000: AAI Workshop
2006 © SWITCH 35
SWITCHaai Identity Providers
Abdeckung:140’000 Benutzer(> 70%) der CH Hochschulen
ETH Zürich
UniversitätZürich
SWITCH
Université de Genève
Zürcher HochschuleWinterthur
UniversitätLuzern
Université deFribourg
UniversitätBern
Université deLausanne
Université de Neuchâtel
UniversitätsspitalZürich
EPFL
SUPSI
UniversitätSt. Gallen
Pädagogische Hochschule Bern
FachhochschuleZentralschweizHES-SO
VHO
IdP in Betrieb
IdP im Aufbau VHO = Virtual Home Organization
Università della Svizzera italiana
UniversitätBasel
2006 © SWITCH 36
Service Provider in SWITCHaai
E-Learning Bibliotheken
Andere Web Anwendungen
DOITDOIT
VITELSVITELS
WebCT VistaWebCT Vista
AD LearnAD Learn
EZproxyEZproxy
kommerziell
ScienceDirectScienceDirect
JSTORJSTORWebCT CampusWebCT Campus
OLATOLAT
MoodleMoodle BSCWBSCWBlackboardBlackboard
SwissLexSwissLex
EBSCOEBSCOILIASILIAS
BundesgerichtBundesgericht
dokeosdokeosRERORERO
MicrosoftMicrosofteConf-PortaleConf-Portal
CompiCampusCompiCampus
IS-AcademiaIS-Academia
uPortaluPortal
jahiajahia
LenyaLenya
SAP-CMSAP-CM
FedoraFedora
EVAEVA
WebSMSWebSMS
2006 © SWITCH 37
Projektfinanzierung
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Au
fwan
d Pilot Realisierung Betrieb
SWITCH & Universitäten Bundesmittel Tarife
Grafik ist qualitativ, nicht quantitativ
38
Das Projekt AAR(UB Freiburg, UB Regensburg)
Projektauftrag BMBF (PT-NMB+F ):
Es werden die notwendigen Komponenten und kommunikations-prozeduren für Authentifizierungsserver, Autorisierungsserver und Rechteserver definiert, entwickelt und im realen Betrieb eingesetzt und erprobt (mit Shibboleth).
Weiterhin wird ein Organisationsmodell erarbeitet, dass den weiteren Betrieb nach der Projektlaufzeit sicherstellt.
– Zeitraum: 1.1.2005 – 31.12.2007
– Kosten: rd. 380.000,- Eur (2 Stellen + Sachmittel)
Auftragserweiterung für 2007: Aufbau einer Föderation zum Betrieb der AAI gemeinsam mit dem DFN.
39
Zeitplan des Projekts AAR
Abstimmung mit vascoda
Entwicklungs-umgebung
Analyse
Abstimmung
Implemen-tierung
Realbetrieb vascoda
Workshops
Dokumentation
Aufbau Föderation
Projektmonat 17(Mai 2006)
29. Mai 2006
40
Übersicht
•Motivation AAI
•Der Lösungsansatz Shibboleth
•Die Projekte SWITCHaai und AAR (DFN-AAI)
•Die Föderation
•Rechtliche und organisatorische Rahmenbedingungen
•Schritte zur Umsetzung
2006 © SWITCH 41
Was ist eine Föderation?
• Gruppe von Organisationen
• Akzeptieren gegenseitig Bestätigungen zu
• Identitäten
•Beschreibende Aussagen (Attribute)
• Befolgen gemeinsameRegeln
• Sind selbstständig
• Nutzen gemeinsameStandards
Circle of Trust
Föderation
2006 © SWITCH 42
Aufgaben und Rollen (1)
Basis Dienste einer Föderation
•Koordination, Strategie und Weiterentwicklung
•Dokumentation & Metadaten bereitstellen
•Beratung, Training
•Betrieb des zentralen WAYF
•Betrieb der Test Infrastruktur
•Bereitstellen von Werkzeugen
•Update Scripts
•Resource Registry
WAYF = 'Where Are You From?' Server
2006 © SWITCH 43
Aufgaben und Rollen (2)
Erweiterte Dienste einer Föderation
•Unterstützung bei der Integration von Anwendungen
•Unterstützung der Identity Provider
•evtl. Outsourcing anbieten
•Virtuelle Heim Organisation
2006 © SWITCH 44
Virtuelle Heim Organisation – VHO
• Integration von Benutzern ohne Identity Provider
SP Admin erzeugt bei der VHO “AAI-enabled” Kontenfür die Benutzer ohne Identity Provider
Ein VHO Konto ist nur für die SP von Nutzen,die der SP Admin kontrolliert.Dritte werden diesen Identitäten nicht trauen
Föderations Mitglied
Home Org SP Admin
BenutzerAdmin
Einige Benutzer ohne
Identity Provider
VHO Dienst @SWITCH User Dir
VHO Policy
2006 © SWITCH 45
Die SWITCHaai Föderation
•SWITCH ist der Betreiber der SWITCHaai Föderation
•Mitglied der Föderation durch Unterschreiben des Service Agreements
2006 © SWITCH 46
Regeln, Richtlinien und Zertifikate
• Federation Policy
• VHO Policy
• Policy für akzeptierte Zertifikate
• Attribut Spezifikation
• Anforderungen ans Identity Management
• 'Best Practice' Dokumente
47
Datenschutz 1 (Datenhaltung)
Europäisches Recht (Art. 6): Personenbezogene Datendürfen nur für spezielle Aufgaben verarbeitet werden!
• Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre.
• Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so)
Auf Seiten der (auch kommerziellen) Dienstanbieter (SP):
• Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja• Z.B. EBAY, Kaufhäuser: Einschränkungen möglich• Behörden: ?
48
Datenschutz 2 (Weitergabe von Attributen)
Europäisches Recht (Art. 7):
Weitergabe personenbezogener Daten nur wenn notwendig
1. Zur Vertragserfüllung (mit den Anbietern)
2. Gesetzliche Grundlagen vorliegen
3. Zum Schutz vitaler Interessen (der Anbieter)
4. Zur Erfüllung der Leistung eines Auftrages (des Anbieters)
– und
5. Nach ausdrücklicher Zustimmung der betroffenen Person
49
Weitergabe von Attributen: Das Modell Autograph (MAMS)
• Die Attribute, die an einen Service-Provider weitergegeben werden, werden den Benutzern in Form von Visitenkarten präsentiert.
• Benutzer können für jeden Service-Provider individuelle Visitenkarten erstellen.
• Die Bedienung ist sehr intuitiv:– Streichen von Attributen schränkt die verfügbaren Dienste
entsprechend ein
– Auswahl eines gewünschten Dienstes fügt automatisch die notwendigen Attribute hinzu
• Demo
2006 © SWITCH 50
Metadaten
Metadaten sind fundamental für die Föderation!
• Vertrauen & Sicherheit
• Infos über Zertifikate und providerID,damit man weiss mit wem man Daten austauscht
• Datenschutz
•Attribute Release Policy (beim IdP)
• Metadaten müssen aktuell und synchron sein,sonst klappt die Interoperabilität nie
•Bilateraler Austausch skaliert schlecht
Ein Werkzeug für die Verwaltung derMetadaten wird benötigt
2006 © SWITCH 51
Die Resource Registry
Ziel • Skalierende Metadaten Verwaltung
• Unterstützung für administrative Prozesse
2006 © SWITCH 52
Attribute für SWITCHaai
Personen bezogen
• Eindeutige ID
• Nachname
• Vorname
• Adresse
• Telefonnummer
• Bevorzugte Sprache
• Geburtsdatum
• Geschlecht
Gruppen bezogen
• Name der
Heim Organisation
• Art der
Heim Organisation
• Status (student, staff,
faculty, …)
• Studienrichtung
• Studienstufe
• Mitarbeiterkategorie
• Gruppen Zugehörigkeit
• DN der Organisation
• DN der Organi-
sationseinheit
•Basiert auf eduPerson
Spezifikation
•Werte für Studienrichtung etc.
aus der CH-Hochschulstatistik
•Benutzername & Passwort fehlen
nur lokal benutzen!
Attribute die nicht bei allenHeim Organisationenvorhanden sein müssen
2006 © SWITCH 53
Attribute und deren Bedeutung
• Zwei Beispiele
• swissEduPersonStudyBranch
• Standardisierte Werte dank schweiz. Hochschulstatistik
• z.B. für Zugangsbeschränkung zu med. E-Learning Kurs
• eduPersonAffiliation
• Abschliessende Liste von Werten
• faculty, student, staff, alum, member, affiliate, employee
6200 Humanmedizin
6300 Zahnmedizin
6400 Veterinärmedizin
7905 Forstwirtschaft
7910 Agrarwirtschaft
7915 Lebensmittelwissenschaft
54
Attribut-Schemata
• Mehrere Grundlagen liegen vor:– eduPerson Specification (Internet2)– funetEduPerson (HAKA)– SCHAC-IAD Version 1.0.0 (Terena)– swissEduPerson (SWITCH)
Beachte:Weltweit operierende, kommerzielle Anbieter halten sich bisher i.a. an eduPerson!
(wg.InCommon)
55
Shibboleth-Standardattribute
• Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema
• Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement)
• Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vor konfiguriert sind
• Beispiele:– eduPersonScopedAffiliation (member@...,staff@...)
– eduPersonTargetedID (r12345z@...)
– eduPersonPrincipalName ([email protected])
2006 © SWITCH 56
Was bedeutet dies?
Confoederatio Helvetica
CH
2006 © SWITCH 57
eduGAIN: jenseits nationaler Grenzen
• eduGAIN: das AAI Forschungsprojekt von GÉANT2
• Ziel ist die Konföderation nationaler AAI Föderationen
• um grenzüberschreitend Dienste nutzen zu können
• Gemeinsame 'Sprache' ist SAML
• 'Übergabepunkte' dienen der Vernetzung, sie wissen
• welche Dienste es in ihrer Föderation gibt
• was wie zu übersetzen ist
• wem wie weit zu vertrauen ist
• wer was darf
58
Übersicht
•Motivation AAI
•Der Lösungsansatz Shibboleth
•Die Projekte SWITCHaai und AAR (DFN-AAI)
•Die Föderation
•Rechtliche und organisatorische Rahmenbedingungen
•Schritte zur Umsetzung
2006 © SWITCH 59
Die SWITCHaai Föderation
•SWITCH ist der Betreiber der SWITCHaai Föderation
•Mitglied der Föderation durch Unterschreiben des Service Agreements
2006 © SWITCH 60
Rechtlicher Rahmen für SWITCHaai
Bundesrecht, kantonales Recht (spez. Datenschutz)
SWITCH
AAI PolicyService Agreement
Org ...
User Regulations
Org ...
User Regulations
Org ...
User Regulations
Org ...
User Regulations
61
DFN-AAI, was ist zu tun?
• Aufbau eines Rahmens für die Föderation– Vorgabe von Richtlinien (Policy)
• Gremien
• Befugnisse
• Vertragsprinzipien
• grundsätzliche technische Entscheidungen
– zentrale betriebliche Aufgaben
• z.B. WAYF, Testumgebung, Support, Zertifizierungsstelle
– Public Relations
– internationale Vertretung
– Vertragsgestaltung und -abschluss
62
Vertragsgestaltung
DFN-Rahmenvertrag
DFNInternet
DFNFernsprechen
DFNAAI
Dienstbeschreibung
Technische Grundlagen
Policy
Zentrale betriebliche Aufgaben
Entgelte
63
Anforderungen an IdM-Systeme
• Personen erhalten elektronische Identität– Attribute beschreiben die Rolle der Person
• Qualitätsanforderungen:– Verlässlichkeit
• Sicherheitsstufen, Missbrauchverhinderung– Aktualität
• zeitnahe Änderung– Nachvollziehbarkeit
• Dokumentation, Logging– Ausfallsicherheit
• Back-up-Systeme• Einklang mit rechtlichen Vorgaben
– Datenschutzgesetz
64
Attribute
• eduPerson-Schema (aus Internet2)– Internationale und kommerzielle Partner verwenden eduPerson
• verbindliche Menge soll minimal sein• Erweiterungen sollen möglich sein, falls erforderlich
– Beispiele: eLearning-Zeugnisse
• Anmerkung:
– Die in der DFN-AAI definierten Attribute müssen aus den lokalen IdM-Systemen abgebildet werden können, sie müssen nicht identisch existieren!
65
Übersicht
•Motivation AAI
•Der Lösungsansatz Shibboleth
•Die Projekte SWITCHaai und AAR (DFN-AAI)
•Die Föderation
•Rechtliche und organisatorische Rahmenbedingungen
•Schritte zur Umsetzung
66
Stand und Ausblick zum Projekt AAR und der DFN-AAI
• Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar
• Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider)
• Das Portal (Regionale DatenbankInformationen Baden-Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider)
67
68
Stand und Ausblick zum Projekt AAR
• Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar
• Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider)
• Das Portal (Regionale DatenbankInformationen Baden-Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider)
• Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt (Test mit Anbieter Infoconnex)
• Am 10. Oktober 2006 wird der 3. Workshop zu Shibboleth in Freiburg stattfinden
• Eine Lösung für die DFG-Nationallizenzen mit Shibboleth wird derzeit erarbeitet.
69
Nationallizenzen: Die Situation heute – institutionelle Nutzer
Verlag-1
Verlag-m
Verlag-2Einrichtung-1
Einrichtung-2
z.B.ReDI
Zugangsvermittlung mitproprietären Verfahren
IP-Kontrolle
IP-Liste
IP-Liste
IP-Kontrolle
IP-Kontrolle
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-ListeIP-
Liste
IP-Liste
IP-Kontrolle
70
Ziel mit AAI
1x1x
NLVHO
ReWriting Proxy (HAN)
Verlag-1
Verlag-m
Verlag-2
Shib idp Shibsp
Shibsp
www.nationallizenzen.de
Shib idp
Shibsp
IP-Ctrl
Ggf mehrere Instanzen (Einrichtungen)
IP
IP
Falls Einrichtung über IP authentifiziert
IP
IP
2006 © SWITCH 71
Voraussetzungen für AAI Installation
• Vorkenntnisse
•Sysadmin Erfahrung
• IdP: Java TomcatSP: Web Server Konfig
• Bereitschaft für neue Technologie
• Support bei Problemen gewährleistet
NB: Ein IdP benötigt ein existierendesIdentity Management…
2006 © SWITCH 72
Erfolgsfaktoren für SWITCHaai
• Motivator: Swiss Virtual Campus
• Gute Zusammenarbeit mit den Universitäten
•Arbeitsgruppen
• Unterstützung auf allen Ebenen
•Bund
•Universitätsleitungen
•Informatikdienste
• Verfügbarkeit der Shibboleth Software von Internet2
73
Danke für Ihre Aufmerksamkeit!
AAR ist ein Projekt der
UB Freiburg und UB Regensburg
Gefördert vom BMBF (PT-NMB+F )
aar.vascoda.de
SWITCHaai
www.switch.ch/aai
Clip
2006 © SWITCH 75
SWITCHaai Federation Partner
• Federation Partner bringen einen Service Providerin die Föderation ein
• Content Provider
• Elsevier, NL
• EuQoS Projekt Teilnehmer
• ENSICA, FR
• NICTA, AU
• Università di Pisa, IT
• Università di Roma, IT
• Universität Tübingen, DE
• Warsaw University of Technology, PL