In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

AAR

Werbung 
Shibboleth und der föderative
Ansatz
Authentifizierung, Autorisierung und Rechteverwaltung in einem
föderativen Umfeld
Ato Ruppert
UB Freiburg
Übersicht
Authentifizierung, Autorisierung,
Rechteverwaltung
• Motivation
• Was ist AAR?
• Föderationen und Rechtliches
2
Was wollen wir erreichen?
Leitsätze zur Nutzung verteilter Informationen im Internet
aus Sicht der Nutzer, Einrichtungen und Anbieter
• Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten
Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte
sollten nach nur einmaliger Authentifizierung und Autorisierung (Single SignOn) zur Verfügung stehen.
• Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges
Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung
soll möglichst gering sein.
• Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor
unberechtigten Zugriff geschützt werden.
Demo:
3
Was ist AAR?
• AAR ist eine Infrastruktur zur Authentifizierung,
Autorisierung und Rechteverwaltung
• AAR ist ein Single Sign-on System, mit dem
verschiedene Ressourcen mit einem einzigen
Login genutzt werden können („Reference
Linking“)
• AAR basiert auf einem föderativen Ansatz:
Die Einrichtung verwaltet und authentifiziert
ihre Mitglieder und der Anbieter kontrolliert
den Zugang zu seinen Ressourcen
• AAR baut auf Shibboleth (Internet2-Projekt) auf
• AAR ergänzt Shibboleth um einen Rechteserver
4
Wie funktioniert AAR?
(1)
Benutzerin bekannt?
(3)
Benutzerin
(5)
(2)
(6)
ja
Benutzerin berechtigt?
(4)
(7)
(8)
Heimateinrichtung
nein
Lokalisierungsdienst
WAYF
(9)
ja
nein
gestattet
Zugriff
verweigert
Anbieter
5
Wie funktioniert AAR?
AAR verwendet Shibboleth
V 1.3 (später 2.0)
HTTP/HTTPS
SOAP Nachricht
Shibboleth baut auf folgende
Standards auf:
•
•
•
•
•
•
HTTP
XML
XML Schema (XSD)
XML Signatur (XMLDisg)
SOAP
SAML 1.1 (später 2.0)
SOAP Header
SOAP Body
SAML
Anfrage/Antwort
6
Wie funktioniert AAR?
(auf der Einrichtungsseite)
Einrichtung (Identity Provider)
Apache
mod_jk
Tomcat
Authentifizierung
über Tomcat oder
Apache schützt
SSO (HS)
Benutzerdaten
Autorisierung
SSO (HS)
LDAP
Attribute
Authority
...
ARP
Richtlinien für
die Freigabe
von Attributen
SQL
7
Wie funktioniert AAR?
(auf der Anbieterseite)
Anbieter (Service Provider)
Apache
Access Control
R
fragt Attribute
bei der AA ab
definiert, welche Attribute
für den Zugriff auf die
Ressourcen erforderlich
sind
Attribute Requester
Ressourcen
Assertion
Consumer Service
AAP
kontrolliert den Zugriff
auf die Ressourcen
8
Was ist eine Föderation?
• Eine Föderation ist ein Zusammenschluss von
Einrichtungen und (auch kommerziellen)
Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das für Shibboleth
notwendige Vertrauensverhältnis zwischen
Einrichtungen und Anbietern und einen
organisatorischen Rahmen für den Austausch
von Benutzerinformationen.
• DFN und AAR bauen gemeinsam eine
deutschlandweite Föderation auf.
9
Aufbau einer Föderation
Für den Aufbau einer Föderation muss
(mindestens) festgelegt werden:
• Organisationsstruktur
• Voraussetzungen für die Mitgliedschaft
• Rechte und Pflichten der Föderation und Mitglieder
• Richtlinien
–
–
–
–
–
Aufnahmeverfahren für neue Mitglieder
Aktualisierung der Metadaten
akzeptierte (CA-)Zertifikate
Standardattribute, Datenschutz
Vorgehensweise bei Missbrauch
10
Föderation als Konsortium mit
externer Verwaltung
Die organisatorischen Aufgaben zu AAR werden extern vergeben.
Alle Entscheidungen verbleiben in der Föderation.
Verträge: Multilateral mit allen Beteiligten
Grenze: Größe der Föderation
Föderation
Externer
Verwalter (DFN)
Externer
Verwalter
En
E1
E…
E2
E4
E3
11
Föderation als Dienstangebot des
DFN
Die organisatorischen Aufgaben werden als Dienst des DFN den
Einrichtungen der Föderation angebotenen und von der Föderation
kontrolliert.
Verträge: Bilateral zwischen Teilnehmer und zentraler Einrichtung
Beispiele: Switch, Haka, InCommon
Föderation
En
E1
E…
DFN
E2
E5
E3
E4
12
Teilnehmer der Föderation
und ihre Rollen
• Mitglieder (Unis, FHs, etc):
– Einrichtung = Identity Provider
– Anbieter (etwa eLearning-Angebote)
• Partner
– Anbieter (auch kommerzielle!)
• Steuerungsgremien
– Überwachung und Entscheidung
• Operator
– Koordinationsdienst für die Föderationsverwaltung
13
Beispiel: Haka/Finnland
(Quelle: Mikael Linden, CSC)
Die Organisationsstruktur von Haka entspricht der
von SWITCHaai
Operator
CSC – scientific computing ltd
Central AAI services
Operations comm.
Advisory comm.
IdP
Federation members
IdP
Palvelu
Palvelu
Palvelu
IdP Palvelu
Palvelu
SP
Palvelu
SP
SP
SP
SP
SP
Federation partners
14
Dienste des Föderationsoperators
Status
•
•
•
•
•
•
Vorgabe von Richtlinien (Policies)
Verwaltung Metadaten der Mitglieder
Betrieb eines Lokalisierungsdienstes
Betrieb einer Zertifizierungsstelle
Betrieb einer Testumgebung
Technischer Support
•
inArbeit: DFN, AAR
•
inArbeit: DFN, AAR
•
verfügbar: AAR
•
verfügbar: DFN
•
verfügbar: AAR
•
verfügbar: AAR
15
Datenschutz 1 (Datenhaltung)
Europäisches Recht (Art. 6): Personenbezogene Daten
dürfen nur für spezielle Aufgaben verarbeitet werden!
• Die Einrichtungen (= Identitiy Provider) müssen den Zweck der
Datenhaltung festlegen und beschreiben. In Universitäten z.B.
(verkürzt): Unterstützung von Forschung und Lehre.
Daraus folgt:
• Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck
entsprechen! (Bei Unis u.a. ist das per se so)
Auf Seiten der (auch kommerziellen) Dienstanbieter (SP):
• Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja
• Z.B. EBAY, Kaufhäuser: Nein
• Behörden: ?
16
Datenschutz 2
(Weitergabe von Attributen)
Europäisches Recht (Art. 7), §§18-20 LDSG-BW:
Weitergabe personenbezogener Daten nur wenn
notwendig
1.
2.
3.
4.
–
5.
Zur Vertragserfüllung (mit den Anbietern)
Gesetzliche Grundlagen vorliegen
Zum Schutz vitaler Interessen (der Anbieter)
Zur Erfüllung der Leistung eines Auftrages (des Anbieters)
und
Nach ausdrücklicher Zustimmung der betroffenen Person
Fazit: Bei der Gründung der Föderation muss der Zweck festgelegt
werden!
17
Attribut-Schemata
• Mehrere Grundlagen liegen vor:
–
–
–
–
eduPerson Specification (internet2)
funetEduPerson (Haka)
SCHAC-IAD Version 1.0.0 (Terena)
SwissEduPerson (Switch)
Beachte: Weltweite, kommerzielle Partner halten
sich bisher i.a. an eduPerson! (wg. InCommon)
18
Shibboleth-Standardattribute
• Shibboleth/InCommon-Standardattribute basieren auf
dem eduPerson-Schema:
http://www.incommonfederation.org/docs/policies/federatedattributes.html
• Internationale Anbieter halten sich üblicherweise an
diesen Standard (insb. eduPersonEntitlement)
• Anbieter kommen meistens mit einigen wenigen
Attributen aus, die in der Shibboleth-Software bereits
vorkonfiguriert sind
• Beispiele:
– eduPersonScopedAffiliation
– eduPersonTargetedID
– eduPersonPrincipalName
(member@..., staff@...)
(r12345z@...)
([email protected])
19
Zum Abschluss:
Stand und Ausblick zum Projekt
• Alle Komponenten von Shibboleth sind in einer
Testumgebung verfügbar
• Gespräche mit Dienstanbietern entwickeln sich sehr
positiv (im Rahmen von Kaufverhandlungen, etwa 100
kommerzielle Service Provider)
• ReDI wurde im Januar auf Shibboleth umgestellt (mit
einer „internen“ Föderation, etwa 60 Identity Provider)
• Die Betriebssoftware IPS von vascoda wird bis Mitte
2006 auf Shibboleth umgestellt
• Der Rechteserver wird bis Mitte 2006 als Prototyp zur
Verfügung stehen.
• Am 23. März 2006 wird ein Workshop für Anbieter in
Freiburg stattfinden
20
Links
• Allgemeines
– http://aar.vascoda.de/links.php
– http://www.terena.nl/tech/
– http://www.geant2.net/upload/pdf/GN2-05-192v6.pdf
• Attribut-Schemata
– http://www.csc.fi/suomi/funet/middleware/valinen/funetEduPerson_1_0.pdf
– http://www.nmi-edit.org/eduPerson/draft-internet2-mace-dir-eduperson00.html
– http://www.terena.nl/tech/task-forces/tf-emc2/docs/schac/schac-schema-IADrc2.pdf
– http://www.switch.ch/aai/docs/swissedu.schema
– http://www.incommonfederation.org/docs/policies/federatedattributes.html
• Datenschutz
– http://www.bfdi.bund.de/DE/Home/homepage__node.html
– http://www.baden-wuerttemberg.datenschutz.de/recht/ldsg/default.htm
– EU-Richtlinie
21
Danke für Ihre Aufmerksamkeit!
AAR ist ein Projekt der
UB Freiburg und UB Regensburg.
Gefördert vom BMBF (PT-NMB+F )
aar.vascoda.de
[email protected]
[email protected]
22
Zugehörige Unterlagen
union coop // föderation
union coop // föderation
Sonstige Publikationen - European Ombudsman Institute
Sonstige Publikationen - European Ombudsman Institute
Einladung zur 23. Generalversammlung
Einladung zur 23. Generalversammlung
PowerPoint-Präsentation
PowerPoint-Präsentation
An die Botschaft der Bundesrepublik Deutschland in Moskau
An die Botschaft der Bundesrepublik Deutschland in Moskau
AXARQUIA ANIMAL RESCUE PFLEGEVERTRAG Name des
AXARQUIA ANIMAL RESCUE PFLEGEVERTRAG Name des
UNSERE HEIMAT
UNSERE HEIMAT
Russische Föderation
Russische Föderation
II. Quartal
II. Quartal
Blatt 3 - Theoretical Physics at University of Konstanz/Theoretische
Blatt 3 - Theoretical Physics at University of Konstanz/Theoretische
Rede des Bundesministers des Auswärtigen Joschka Fischer
Rede des Bundesministers des Auswärtigen Joschka Fischer
gerichte in russland: besonderheiten des verfahrens
gerichte in russland: besonderheiten des verfahrens
Herunterladen
Werbung