Správa vzdáleného přístupu k elektronickým

informačním zdrojůmČeská zemědělská univerzita v Praze, 24.2.2008

Ing. Jiří PavlíkUniverzita Karlova v Praze, Ústav výpočetní techniky

Cesnet

Program

• Jemný úvod ke vzdálenému přístupu k el. zdrojům

• Stávající řešení

• Shibboleth

• Shrnutí a diskuze

Jemný úvod

• Prostředí pro výuku

• Úvod do problematiky

Prostředí pro výuku

• El. časopisy, el. knihy

• E-learningové kurzy

• Dostupné rychlé internetové připojení

• Dostupné počítače + netbooky, smartphones

• Internetová gramotnost studentů a pedagogů

Úvod do problematiky

• Optimální vzdálený přístup?

• rozpozvávání afiliací k instituci

• aktuální, platné role v instituci

• multiinstitucionální

• Single-sign-on

• žádné pluginy, žádné extra nastavení pro uživatele, žádné extra adresy

Úvod do problematiky• Optimální vzdálený přístup?

• jakýkoli prohlížeč, jakékoli zařízení

• bezpečné

• ochrana osobních údajů

• škálovatelné

• založené na otevřených mezinárodních standardech

Úvod do problematiky• Optimální vzdálený přístup?

• intuitivní, samonaváděcí pro uživatele

• dobře spravovatelné pro správce

• rychle nasaditelné, dostupné

• podporované - vývoj, technická podpora

• monitoring, statistiky

Stávající řešení

• Používané typy autentikace a autorizace

• Příklady systémů

• Vlastnosti, omezení

• bez Shibboleth

Autentikace a autorizace

• IP adresa proxy serveru

• institucionální jméno a heslo, ev. jen heslo

• kombinace IP adresa a jména s heslem

• osobní jméno a heslo

• proprietární skript (JSTOR)

Systémy• rewrite proxy

• HTTP proxy

• VPN

• ssh tunel

• portály

• terminál servery

Rewrite proxy

+ levné, statistiky

- rozlišování skupin, speciální odkazy, nároky na správu

• EZ Proxy

HTTP proxy

+ levné, nároky na správu, žádné úpravy v odkazech na stránkách, nároky na správu

- rozlišování skupin, uživatelský komfort, statistiky

• Squid

VPN

+ nároky na správu, žádné úpravy v odkazech na stránkách

- rozlišování skupin, autentikace na jméno a heslo, statistiky

• open source, Microsoft, CISCO

Ssh tunel

+ nároky na správu, žádné úpravy v odkazech na stránkách

- uživatelský komfort, rozlišování skupin, statistiky

• unix server / ssh klient zařízení uživatele

Portálové systémy

+ uživatelský komfort, statistiky

- cena, nároky na správu, úpravy v odkazech

• Onelog, Netman

Terminal server

+ nároky na správu, žádné úpravy v odkazech, podpora newebových klientů

- uživatelský komfort, statistiky

• Windows server, Mac OS X server

Nejblíže ideálu?• EZproxy

• 2600+ instutucí v 60+ zemích

• UK, STK, VKOL, VŠE, NFÚ, ...

• 30 denní free trial, 495 USD

• implementace na klíč

• vzdálená správa, hosting, školení, konzultace

Nejblíže ideálu?• EZproxy

• vývoj, technická podpora OCLC

• žádné plugins pro uživatele

• provoz na portu 80

• podpora LDAP

• Windows, Linux, Solaris

Nejblíže ideálu?

• EZproxy

• podpora Shibboleth

Nejblíže ideálu?

• EZproxy - omezení

• nároky na implementaci a správu

• linkování

• speciální linky pro uživatele

Shibboleth

• Základní představení

• Technologie na pozadí

• Federace

• Implementace Shibboleth v zahraničí

• Implementace Shibboleth v ČR

Shibboleth

• Podpora Shibboleth u databázových center

• Podpora Shibboleth u aplikací

• Shibboleth u produktů Ex Libris

Shibboleth

• Technické podrobnosti

• IdP - instalace

• SP - instalace, shibbolethizace

• LDAP schema, atributy

• SAML protokol

Shibboleth

• Užitečné odkazy

• Kontakty

• Doporučení, příprava pro Shibboleth

• Shibboleth pro ČR 2009 - 2012

• Otázky, diskuze

Základní představení

"The Gileadites captured the fords of the Jordan leading to Ephraim, and whenever a survivour of Ephraim said, "Let me go over," the men of Gilead asked him, "Are you an Ephraimite?" If he replied, "No," they said, "All right, say 'Shibboleth'." If he said, "Sibboleth," because he could not pronounce the word correctly, they seized him and killed him at the fords of the Jordan. Forty-two thousand Ephraimites were killed at that time." (Judges 12:5-6, NIV)

http://en.wikipedia.org/wiki/Shibboleth

Základní představeníShibboleth is an Internet2 Middleware Initiative project that has created an architecture and open-source implementation for federated identity-based authentication and authorization infrastructure based on SAML. Federated identity allows for information about users in one security domain to be provided to other organizations in a common federation. This allows for cross-domain single sign-on and removes the need for content providers to maintain usernames and passwords. Identity providers (IdP's) supply user information, while service providers (SP's) consume this information and gate access to secure content.

http://en.wikipedia.org/wiki/Shibboleth_(Internet2)

Základní představení

“Because of the barbaric legend, 'Shibboleth' is admirably suited as the name for a system that restricts user rights and free access to information. Whether it is needed by libraries, ordinary citizens or rapacious publishers is quite another matter.”

Ari Rouvari, The National Library of Finland, FinELib

Základní představení

• Internet 2 projekt [http://www.internet2.edu]

• middleware pro federativní autentikaci a autorizaci

• freeware, open source

• webové Single-Sign-On

Shibboleth in Action!JISC

• http://www.jisc.ac.uk/whatwedo/themes/accessmanagement/federation/animation

Internet2

• http://shibboleth.internet2.edu/

• Shibboleth demo (Quicktime Movie)

• Shibboleth-enabled collaboration environment(Quicktime Movie)

Komponenty v rámci Shibboleth

• Identity Provider

• Servis provider

• Where Are You From / Discovery Service

• Shibboleth federace

• nepovinně cookie - kontext WAYF / DS

Schema

http://www.switch.ch/aai/demo/

Shrnutí výhod nasazení Shibboleth

+ open source, volně dostupné

+ standardní protokoly

+ podpora Internet2

+ úspora nároků na správu

Shrnutí výhod nasazení Shibboleth

© SWITCH

Shrnutí výhod nasazení Shibboleth

+ rozlišování uživatelů podle skupin

+ vysoká úroveň zabezpečení

+ webové SSO

+ komfort uživatelů

+ lokální i federativní, škálovatelné

+ ochrana soukromí uživatelů

Výzvy nasazení Shibboleth

- shibbolethizace aplikací

- standardizace LDAP

- organizace federace

- závislost na statistikách providerů

Shibboleth v zahraničí

• Finsko, Velká Británie, Švýcarsko, USA, Francie, Německo, Dánsko, Čína, Holandsko, Norsko, Belgie, Austrálie, Španělsko, Švédsko

• v přípravě: Austrálie, ČR, Slovinsko

• eduGAIN, EU konfederace, projekt GÉANT2

• seznam federací

• https://spaces.internet2.edu/display/SHIB/ShibbolethFederations

Finsko

• federace HAKA, spravováno CSC, 38 členů

• Nelli Portal, FinELib - MetaLib, SFX, EZ Proxy a dalších 52 služeb, e-learning

• http://www.csc.fi/english/institutions/haka/index_html

Velká Británie

• UK federation, spravováno JISC a Becta, 629 členů

• přechod z Athens, OpenAthens Shibboleth-to-Athens Gateway, el. zdroje a e-learning

• http://www.ukfederation.org.uk/

Švýcarsko

• federace SWITCHaai, spravována SWITCH, 35 členů

• nadstavbové nástroje, školení

• e-learningové systémy

• http://www.switch.ch/aai/

USA

• federace InCommon, 78+5+32 členů, 2.2 milionu koncových uživatelů

• el. zdroje a e-learning

• http://www.incommonfederation.org/

Shibboleth v ČR

• pracovní skupina při CESNET

• založena 2005/2006

• czTestFed - testovací federace

• eduID - produkční federace, pilotní provoz ve 2008, ostrý provoz od 1.1.2009

Shibboleth v ČR

• stránky eduID:

• http://www.eduid.cz

• aktivita AAI a mobilita

• http://www.cesnet.cz/projekt/09

Shibboleth v ČR

• stránky eduID:

• politika federace eduID

• návody a připojení do eduID a czTestFed

• návody na instalace IdP a SP

Služby s podporou Shibboleth

• db centra

• aplikace

• Ex Libris knihovní aplikace

Shibboleth u databázových center

• Elsevier Science Direct

• EBSCO

• CSA

• Proquest

• Thomson Reuters

• JSTOR

• ...

Shibboleth u aplikací• Ex Libris PDS (Aleph, MetaLib, SFX,

DigiTool, Primo)

• EZ Proxy

• Moodle

• Blackboard - WebCT

• Fedora, DSpace

• TWiki ....

Shibboleth u db center a aplikací

• Internet2 adresář

• https://spaces.internet2.edu/pages/viewpage.action?pageId=11484

• JISC adresář

• http://access.jiscinvolve.org/federated-access-and-publishers/

Shibboleth u produktů Ex Libris

• SFX

• podzim 2002 testování

• léto 2003 implementace na CDL a NYU

• USMAI, Nelli Portalli, Swiss Federal Institute of Technology Zurich

Shibboleth u produktů Ex Libris

• Patron Directory Services v1.3

• MetaLib 3.13, Aleph 18.x, DigiTool 3.x, SFX, Primo

• Patron Directory Services 1.3.pdf Implementing Shibboleth 1.32 in Ex Libris products

• PDS jako WAYF

Shibboleth u produktů Ex Libris

• University of Maryland / USMAI

• David Kennedy

• MetaLib, Aleph

• EZproxy, IILiad, EBSCO,

• stránky k implemetanci Shibboleth• http://usmai.umd.edu/auth/

Shibboleth u produktů Ex Libris

• Univerzita Karlova v Praze

• Jiří Pavlík

• v přípravě Aleph, DGT, SFX, MetaLib

• EZproxy

• stránky k Shibboleth na UK• http://kis.is.cuni.cz/KSISENG-9.html

Zajímavé implementace

• iTunes University

• Microsoft DeramSpark

iTunes University

• Apple spustili shibbolethovou autentikaci u iTunes University, což umožní pedagogům vystavovat výukové materiály (videa, zvukové nahrávky, skripta) s autentikací univerzitním účtem a studentům umožní přístup k těmto materiálům opět s autentikací univerzitním účtem. Penn State v roce 2007 v rámci iTunes University vystavili 3 500 podcastů v rámci 300 kurzů.

• Podrobnosti:

http://www.incommonfederation.org/docs/eg/InC_CaseStudy_iTunes_2008.pdf

Microsoft Spark

• Microsoft pro všechny studenty celosvětově nabízí balík DreamSpark -Visual Studio, Expression Studio, Windows Server a xna Game Studio. Autentikace studentů je zajištěna pomocí Shibboleth.

• Podrobnosti:

http://www.incommonfederation.org/docs/eg/InC_CaseStudy_Dreamspark_2008.pdf

Technické detaily

• verze Shibboleth

• IdP - instalace, LDAP

• SP - shibbolethizace

• SAML protokol

• eduPerson LDAP schema

Verze Shibboleth• 1.2 a níže - již nepodporované

• 1.3 - předešlá stabilní

• 2.0 - nahrazená 2.1

• 2.1.2 - aktuální stabilní

• 2.x zpětně kompatibilní s 1.3

Identity Provider - IdPverze 2.x

• Java aplikace

• Java aplikační server např. Apache Tomcat, Servlet 2.4 container

• Popis instalace na webu eduID:

• http://www.eduid.cz/wiki/cztestfed/howto/index

Service Providerverze 2.x

• Linux, Mac OS X, Solaris 8, Windows 32-bit / 64-bit, C++ zdrojový kód

• 6.9.2008 Java verze

• Popis instalace na webu eduID:

• http://www.eduid.cz/wiki/cztestfed/howto/index

Otestování

• Pro otestování instalace IdP nebo SP k dispozici federace czTestFed

• http://www.eduid.cz/wiki/cztestfed/index

SAML protokol

• Security Assertions Markup Language

• OASIS projekt [http://www.oasis-open.org]

• http://www.oasis-open.org/specs/index.php

• http://www.xml.com/pub/a/2005/01/12/saml2.html

eduPerson schema

• LDAP schema

• popis atributů a hodnot používaných v rámci Shibboleth

• http://middleware.internet2.edu/eduperson/

• http://middleware.internet2.edu/dir/schema/

Národní rozšíření eduPerson

• FunetEduPerson

• http://www.csc.fi/english/institutions/haka/technology/funeteduperson

• SwissEduPerson

• http://www.switch.ch/aai/support/documents/#policies

Užitečné odkazy

• Internet 2 Shibboleth

• http://shibboleth.internet2.edu/

• Shibboleth Wiki

• https://spaces.internet2.edu/display/SHIB2/Home

Užitečné odkazy

• Shibboleth demo

• http://www.switch.ch/aai/demo

• O Shibboleth na lupa.cz od Pavla Satrapy

• http://www.lupa.cz/clanky/shibboleth/

Užitečné odkazy

• InCommon and FastLane Demo (58 minuta, 21 minut)

• http://events.internet2.edu/2006/fall-mm/netcast-archive.cfm?session=2931

Užitečné odkazy

• SWITCHaai - dokumentace, how-tos

• http://www.switch.ch/aai/tech/

• http://www.switch.ch/aai/howto/

• http://www.switch.ch/aai/support/presentations/installfest-2008/resources.html

Užitečné odkazy

• GridShib, Shibboleth v prostředí gridů

• http://gridshib.globus.org/

• https://authdev.it.ohio-state.edu/twiki/bin/view/GridShib/WebHome

Kontakty• CESNET

• Milan Sova, sova@cesnet.cz

• Univerzita Karlova v Praze, Cesnet

• Jiří Pavlík, pavlik@cuni.cz

• eduID

• http://www.eduid.cz/wiki/eduid/contact

Události k Shibboleth

• semináře řešitelů CESNET

• školení CESNET

• Internet2 events

• http://shibboleth.internet2.edu/events.html

Shrnutí, diskuze

• doporučení

• příprava pro Shibboleth

• vývoj kolem Shibboleth 2009, 2010 - 2012

• otázky, diskuze

Doporučení

• EZproxy

• příprava na Shibboleth

Příprava na Shibboleth

• Identity management v rámci organizace a bezpečnostní politika

• příprava LDAP

• instalace IdP, ev. SP

• připojení a otestování v rámci czTestFed, připojení do eduID

• oslovení Cesnet k podpoře nasazení Shibboleth

Shibboleth 2009

• jaro 2009:

• návody na připojení do eduID

• anglická verze politiky a návodů

• seznamy členů a služeb

• aktuality, kalendář akcí

Shibboleth 2009• jaro 2009:

• know-how k shibbolethizaci Ex Libris PDS - SFX, Aleph, MetaLib, DigiTool

• know-how k shibbolethizaci Moodle, CaseMed, MefaNet

• know-how k shibbolethizaci Portálu el. zdroju MUNI

Shibboleth 2009

• 2009

• připojení EBSCO, JSTOR, Elsevier, Proquest, ... do eduID

• shibbolethizace e-learning systémů a spolupráce při tvorbě kurzů

Shibboleth 2009

• 2009

• školení Cesnet k instalaci SP a IdP

• grantová podpora Cesnet k nasazení Shibboleth

Shibboleth 2010 - 2012

• přechod na shibbolethovou autentikaci u většiny předpláceného materiálu pro výuku

• shibbolethizace služeb na univerzitách

• shibbolethizace služeb partnerů

Shibboleth 2010 - 2012

• multiinstitucionální podpora u Shibboleth

• interoperabilita se systémy založenými na SAML

• podpora Kerberos

• Shibboleth session logout

Shibboleth 2010 - 2012

• nové verze Shibboleth od Internet2

• nové nadstavbové nástroje

• boom nabídky služeb

Finiš

• závěrečné otázky? diskuze• Vaše návrhy pro eduID -

dokumentace, podpora, školení,...?

• doprovodný materiál

Děkuji za pozornost

Jiří Pavlík pavlik@cuni.cz

Univerzita Karlova v Praze, Ústav výpočetní techniky

Cesnet