správa vzdáleného přístupu k elektronickým informačním zdrojům
DESCRIPTION
Praktické představení technologií pro vzdálený přístup k elektronickým zdrojům v knihovnáchTRANSCRIPT
Správa vzdáleného přístupu k elektronickým
informačním zdrojůmČeská zemědělská univerzita v Praze, 24.2.2008
Ing. Jiří PavlíkUniverzita Karlova v Praze, Ústav výpočetní techniky
Cesnet
Program
• Jemný úvod ke vzdálenému přístupu k el. zdrojům
• Stávající řešení
• Shibboleth
• Shrnutí a diskuze
Jemný úvod
• Prostředí pro výuku
• Úvod do problematiky
Prostředí pro výuku
• El. časopisy, el. knihy
• E-learningové kurzy
• Dostupné rychlé internetové připojení
• Dostupné počítače + netbooky, smartphones
• Internetová gramotnost studentů a pedagogů
Úvod do problematiky
• Optimální vzdálený přístup?
• rozpozvávání afiliací k instituci
• aktuální, platné role v instituci
• multiinstitucionální
• Single-sign-on
• žádné pluginy, žádné extra nastavení pro uživatele, žádné extra adresy
Úvod do problematiky• Optimální vzdálený přístup?
• jakýkoli prohlížeč, jakékoli zařízení
• bezpečné
• ochrana osobních údajů
• škálovatelné
• založené na otevřených mezinárodních standardech
Úvod do problematiky• Optimální vzdálený přístup?
• intuitivní, samonaváděcí pro uživatele
• dobře spravovatelné pro správce
• rychle nasaditelné, dostupné
• podporované - vývoj, technická podpora
• monitoring, statistiky
Stávající řešení
• Používané typy autentikace a autorizace
• Příklady systémů
• Vlastnosti, omezení
• bez Shibboleth
Autentikace a autorizace
• IP adresa proxy serveru
• institucionální jméno a heslo, ev. jen heslo
• kombinace IP adresa a jména s heslem
• osobní jméno a heslo
• proprietární skript (JSTOR)
Systémy• rewrite proxy
• HTTP proxy
• VPN
• ssh tunel
• portály
• terminál servery
Rewrite proxy
+ levné, statistiky
- rozlišování skupin, speciální odkazy, nároky na správu
• EZ Proxy
HTTP proxy
+ levné, nároky na správu, žádné úpravy v odkazech na stránkách, nároky na správu
- rozlišování skupin, uživatelský komfort, statistiky
• Squid
VPN
+ nároky na správu, žádné úpravy v odkazech na stránkách
- rozlišování skupin, autentikace na jméno a heslo, statistiky
• open source, Microsoft, CISCO
Ssh tunel
+ nároky na správu, žádné úpravy v odkazech na stránkách
- uživatelský komfort, rozlišování skupin, statistiky
• unix server / ssh klient zařízení uživatele
Portálové systémy
+ uživatelský komfort, statistiky
- cena, nároky na správu, úpravy v odkazech
• Onelog, Netman
Terminal server
+ nároky na správu, žádné úpravy v odkazech, podpora newebových klientů
- uživatelský komfort, statistiky
• Windows server, Mac OS X server
Nejblíže ideálu?• EZproxy
• 2600+ instutucí v 60+ zemích
• UK, STK, VKOL, VŠE, NFÚ, ...
• 30 denní free trial, 495 USD
• implementace na klíč
• vzdálená správa, hosting, školení, konzultace
Nejblíže ideálu?• EZproxy
• vývoj, technická podpora OCLC
• žádné plugins pro uživatele
• provoz na portu 80
• podpora LDAP
• Windows, Linux, Solaris
Nejblíže ideálu?
• EZproxy
• podpora Shibboleth
Nejblíže ideálu?
• EZproxy - omezení
• nároky na implementaci a správu
• linkování
• speciální linky pro uživatele
Shibboleth
• Základní představení
• Technologie na pozadí
• Federace
• Implementace Shibboleth v zahraničí
• Implementace Shibboleth v ČR
Shibboleth
• Podpora Shibboleth u databázových center
• Podpora Shibboleth u aplikací
• Shibboleth u produktů Ex Libris
Shibboleth
• Technické podrobnosti
• IdP - instalace
• SP - instalace, shibbolethizace
• LDAP schema, atributy
• SAML protokol
Shibboleth
• Užitečné odkazy
• Kontakty
• Doporučení, příprava pro Shibboleth
• Shibboleth pro ČR 2009 - 2012
• Otázky, diskuze
Základní představení
"The Gileadites captured the fords of the Jordan leading to Ephraim, and whenever a survivour of Ephraim said, "Let me go over," the men of Gilead asked him, "Are you an Ephraimite?" If he replied, "No," they said, "All right, say 'Shibboleth'." If he said, "Sibboleth," because he could not pronounce the word correctly, they seized him and killed him at the fords of the Jordan. Forty-two thousand Ephraimites were killed at that time." (Judges 12:5-6, NIV)
http://en.wikipedia.org/wiki/Shibboleth
Základní představeníShibboleth is an Internet2 Middleware Initiative project that has created an architecture and open-source implementation for federated identity-based authentication and authorization infrastructure based on SAML. Federated identity allows for information about users in one security domain to be provided to other organizations in a common federation. This allows for cross-domain single sign-on and removes the need for content providers to maintain usernames and passwords. Identity providers (IdP's) supply user information, while service providers (SP's) consume this information and gate access to secure content.
http://en.wikipedia.org/wiki/Shibboleth_(Internet2)
Základní představení
“Because of the barbaric legend, 'Shibboleth' is admirably suited as the name for a system that restricts user rights and free access to information. Whether it is needed by libraries, ordinary citizens or rapacious publishers is quite another matter.”
Ari Rouvari, The National Library of Finland, FinELib
Základní představení
• Internet 2 projekt [http://www.internet2.edu]
• middleware pro federativní autentikaci a autorizaci
• freeware, open source
• webové Single-Sign-On
Shibboleth in Action!JISC
• http://www.jisc.ac.uk/whatwedo/themes/accessmanagement/federation/animation
Internet2
• http://shibboleth.internet2.edu/
• Shibboleth demo (Quicktime Movie)
• Shibboleth-enabled collaboration environment(Quicktime Movie)
Komponenty v rámci Shibboleth
• Identity Provider
• Servis provider
• Where Are You From / Discovery Service
• Shibboleth federace
• nepovinně cookie - kontext WAYF / DS
Shrnutí výhod nasazení Shibboleth
+ open source, volně dostupné
+ standardní protokoly
+ podpora Internet2
+ úspora nároků na správu
Shrnutí výhod nasazení Shibboleth
© SWITCH
Shrnutí výhod nasazení Shibboleth
+ rozlišování uživatelů podle skupin
+ vysoká úroveň zabezpečení
+ webové SSO
+ komfort uživatelů
+ lokální i federativní, škálovatelné
+ ochrana soukromí uživatelů
Výzvy nasazení Shibboleth
- shibbolethizace aplikací
- standardizace LDAP
- organizace federace
- závislost na statistikách providerů
Shibboleth v zahraničí
• Finsko, Velká Británie, Švýcarsko, USA, Francie, Německo, Dánsko, Čína, Holandsko, Norsko, Belgie, Austrálie, Španělsko, Švédsko
• v přípravě: Austrálie, ČR, Slovinsko
• eduGAIN, EU konfederace, projekt GÉANT2
• seznam federací
• https://spaces.internet2.edu/display/SHIB/ShibbolethFederations
Finsko
• federace HAKA, spravováno CSC, 38 členů
• Nelli Portal, FinELib - MetaLib, SFX, EZ Proxy a dalších 52 služeb, e-learning
• http://www.csc.fi/english/institutions/haka/index_html
Velká Británie
• UK federation, spravováno JISC a Becta, 629 členů
• přechod z Athens, OpenAthens Shibboleth-to-Athens Gateway, el. zdroje a e-learning
• http://www.ukfederation.org.uk/
Švýcarsko
• federace SWITCHaai, spravována SWITCH, 35 členů
• nadstavbové nástroje, školení
• e-learningové systémy
• http://www.switch.ch/aai/
USA
• federace InCommon, 78+5+32 členů, 2.2 milionu koncových uživatelů
• el. zdroje a e-learning
• http://www.incommonfederation.org/
Shibboleth v ČR
• pracovní skupina při CESNET
• založena 2005/2006
• czTestFed - testovací federace
• eduID - produkční federace, pilotní provoz ve 2008, ostrý provoz od 1.1.2009
Shibboleth v ČR
• stránky eduID:
• http://www.eduid.cz
• aktivita AAI a mobilita
• http://www.cesnet.cz/projekt/09
Shibboleth v ČR
• stránky eduID:
• politika federace eduID
• návody a připojení do eduID a czTestFed
• návody na instalace IdP a SP
Služby s podporou Shibboleth
• db centra
• aplikace
• Ex Libris knihovní aplikace
Shibboleth u databázových center
• Elsevier Science Direct
• EBSCO
• CSA
• Proquest
• Thomson Reuters
• JSTOR
• ...
Shibboleth u aplikací• Ex Libris PDS (Aleph, MetaLib, SFX,
DigiTool, Primo)
• EZ Proxy
• Moodle
• Blackboard - WebCT
• Fedora, DSpace
• TWiki ....
Shibboleth u db center a aplikací
• Internet2 adresář
• https://spaces.internet2.edu/pages/viewpage.action?pageId=11484
• JISC adresář
• http://access.jiscinvolve.org/federated-access-and-publishers/
Shibboleth u produktů Ex Libris
• SFX
• podzim 2002 testování
• léto 2003 implementace na CDL a NYU
• USMAI, Nelli Portalli, Swiss Federal Institute of Technology Zurich
Shibboleth u produktů Ex Libris
• Patron Directory Services v1.3
• MetaLib 3.13, Aleph 18.x, DigiTool 3.x, SFX, Primo
• Patron Directory Services 1.3.pdf Implementing Shibboleth 1.32 in Ex Libris products
• PDS jako WAYF
Shibboleth u produktů Ex Libris
• University of Maryland / USMAI
• David Kennedy
• MetaLib, Aleph
• EZproxy, IILiad, EBSCO,
• stránky k implemetanci Shibboleth• http://usmai.umd.edu/auth/
Shibboleth u produktů Ex Libris
• Univerzita Karlova v Praze
• Jiří Pavlík
• v přípravě Aleph, DGT, SFX, MetaLib
• EZproxy
• stránky k Shibboleth na UK• http://kis.is.cuni.cz/KSISENG-9.html
Zajímavé implementace
• iTunes University
• Microsoft DeramSpark
iTunes University
• Apple spustili shibbolethovou autentikaci u iTunes University, což umožní pedagogům vystavovat výukové materiály (videa, zvukové nahrávky, skripta) s autentikací univerzitním účtem a studentům umožní přístup k těmto materiálům opět s autentikací univerzitním účtem. Penn State v roce 2007 v rámci iTunes University vystavili 3 500 podcastů v rámci 300 kurzů.
• Podrobnosti:
http://www.incommonfederation.org/docs/eg/InC_CaseStudy_iTunes_2008.pdf
Microsoft Spark
• Microsoft pro všechny studenty celosvětově nabízí balík DreamSpark -Visual Studio, Expression Studio, Windows Server a xna Game Studio. Autentikace studentů je zajištěna pomocí Shibboleth.
• Podrobnosti:
http://www.incommonfederation.org/docs/eg/InC_CaseStudy_Dreamspark_2008.pdf
Technické detaily
• verze Shibboleth
• IdP - instalace, LDAP
• SP - shibbolethizace
• SAML protokol
• eduPerson LDAP schema
Verze Shibboleth• 1.2 a níže - již nepodporované
• 1.3 - předešlá stabilní
• 2.0 - nahrazená 2.1
• 2.1.2 - aktuální stabilní
• 2.x zpětně kompatibilní s 1.3
Identity Provider - IdPverze 2.x
• Java aplikace
• Java aplikační server např. Apache Tomcat, Servlet 2.4 container
• Popis instalace na webu eduID:
• http://www.eduid.cz/wiki/cztestfed/howto/index
Service Providerverze 2.x
• Linux, Mac OS X, Solaris 8, Windows 32-bit / 64-bit, C++ zdrojový kód
• 6.9.2008 Java verze
• Popis instalace na webu eduID:
• http://www.eduid.cz/wiki/cztestfed/howto/index
Otestování
• Pro otestování instalace IdP nebo SP k dispozici federace czTestFed
• http://www.eduid.cz/wiki/cztestfed/index
SAML protokol
• Security Assertions Markup Language
• OASIS projekt [http://www.oasis-open.org]
• http://www.oasis-open.org/specs/index.php
• http://www.xml.com/pub/a/2005/01/12/saml2.html
eduPerson schema
• LDAP schema
• popis atributů a hodnot používaných v rámci Shibboleth
• http://middleware.internet2.edu/eduperson/
• http://middleware.internet2.edu/dir/schema/
Národní rozšíření eduPerson
• FunetEduPerson
• http://www.csc.fi/english/institutions/haka/technology/funeteduperson
• SwissEduPerson
• http://www.switch.ch/aai/support/documents/#policies
Užitečné odkazy
• Internet 2 Shibboleth
• http://shibboleth.internet2.edu/
• Shibboleth Wiki
• https://spaces.internet2.edu/display/SHIB2/Home
Užitečné odkazy
• Shibboleth demo
• http://www.switch.ch/aai/demo
• O Shibboleth na lupa.cz od Pavla Satrapy
• http://www.lupa.cz/clanky/shibboleth/
Užitečné odkazy
• InCommon and FastLane Demo (58 minuta, 21 minut)
• http://events.internet2.edu/2006/fall-mm/netcast-archive.cfm?session=2931
Užitečné odkazy
• SWITCHaai - dokumentace, how-tos
• http://www.switch.ch/aai/tech/
• http://www.switch.ch/aai/howto/
• http://www.switch.ch/aai/support/presentations/installfest-2008/resources.html
Užitečné odkazy
• GridShib, Shibboleth v prostředí gridů
• http://gridshib.globus.org/
• https://authdev.it.ohio-state.edu/twiki/bin/view/GridShib/WebHome
Kontakty• CESNET
• Milan Sova, [email protected]
• Univerzita Karlova v Praze, Cesnet
• Jiří Pavlík, [email protected]
• eduID
• http://www.eduid.cz/wiki/eduid/contact
Události k Shibboleth
• semináře řešitelů CESNET
• školení CESNET
• Internet2 events
• http://shibboleth.internet2.edu/events.html
Shrnutí, diskuze
• doporučení
• příprava pro Shibboleth
• vývoj kolem Shibboleth 2009, 2010 - 2012
• otázky, diskuze
Doporučení
• EZproxy
• příprava na Shibboleth
Příprava na Shibboleth
• Identity management v rámci organizace a bezpečnostní politika
• příprava LDAP
• instalace IdP, ev. SP
• připojení a otestování v rámci czTestFed, připojení do eduID
• oslovení Cesnet k podpoře nasazení Shibboleth
Shibboleth 2009
• jaro 2009:
• návody na připojení do eduID
• anglická verze politiky a návodů
• seznamy členů a služeb
• aktuality, kalendář akcí
Shibboleth 2009• jaro 2009:
• know-how k shibbolethizaci Ex Libris PDS - SFX, Aleph, MetaLib, DigiTool
• know-how k shibbolethizaci Moodle, CaseMed, MefaNet
• know-how k shibbolethizaci Portálu el. zdroju MUNI
Shibboleth 2009
• 2009
• připojení EBSCO, JSTOR, Elsevier, Proquest, ... do eduID
• shibbolethizace e-learning systémů a spolupráce při tvorbě kurzů
Shibboleth 2009
• 2009
• školení Cesnet k instalaci SP a IdP
• grantová podpora Cesnet k nasazení Shibboleth
Shibboleth 2010 - 2012
• přechod na shibbolethovou autentikaci u většiny předpláceného materiálu pro výuku
• shibbolethizace služeb na univerzitách
• shibbolethizace služeb partnerů
Shibboleth 2010 - 2012
• multiinstitucionální podpora u Shibboleth
• interoperabilita se systémy založenými na SAML
• podpora Kerberos
• Shibboleth session logout
Shibboleth 2010 - 2012
• nové verze Shibboleth od Internet2
• nové nadstavbové nástroje
• boom nabídky služeb
Finiš
• závěrečné otázky? diskuze• Vaše návrhy pro eduID -
dokumentace, podpora, školení,...?
• doprovodný materiál
Děkuji za pozornost
Jiří Pavlík [email protected]
Univerzita Karlova v Praze, Ústav výpočetní techniky
Cesnet