bwIDM bwIDM – Födera)ves Iden)tätsmanagement nicht-­‐webbasierter Dienste Mar$n Nussbaumer, KIT Mannheim, 7. Mai 2013 bwIDM bwIDM – Vision • Mo-va-on: Beobachtbarer Trend zu verteilten Diensten – zunehmende Spezialisierung von IT-­‐Diensten: inspiriert durch Ansätze wie U$lity Compu$ng, Gridansätze, Storage Clouds, Cloud Compu$ng, usw. – In Baden-­‐WürPemberg: Hochleistungsrechnen (bwHPC), Large Scale Data Facility (LSDF), landesweites integriertes Bibliothekssystem, … • Ziel: bequemer Zugriff zu verteilten Diensten wie im lokalen Umfeld – Vergabe von Autorisierungskriterien bleiben „lokale Angelegenheit“ (Autonomie) – Koordinierte Richtlinien für die Autorisierung bei Diensten (Födera$onsregeln) – Verteilter Zugriff auf BW-­‐Dienste mit der an der lokalen Einrichtung vergebenen Kennung (Nutzerfreundlich) 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 2 bwIDM Grundannahmen • Es wird keine zusätzliche Nutzerverwaltung auf Landesebene eingeführt. • Es wird keine zusätzliche, redundante zentrale Datenhaltung persönlicher APribute auf Landesebene eingeführt. Keep It Simple & Stupid (KISS) à Das Konzept soll für die lokalen IDM-­‐Betreiber so einfach wie möglich umzusetzen sein (minimal-­‐invasiv). à Das Konzept soll für die Dienstbetreiber so einfach wie möglich umzusetzen sein. • bwIDM baut keine lokalen IDM-­‐Systeme auf – Es spezifiziert aber Anforderungen an lokale IDM-­‐Systeme 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 3 bwIDM bwIDM -­‐ Kernaufgaben 2. ... „Iden$tätsmanagement“ – Lebenszyklus von Personen, APributen, Autorisierungsmerkmalen – Gewährleistung von Verlässlichkeit 3. Compute Storage ... einen Zusammenschluss – zu einem übergreifenden Ganzen – Eigenständigkeit lokaler IDMs 07.05.2013 … Lokales IDM – Zusammenarbeit mit anzu-­‐ schließenden Diensten Lokales IDM – Dienstnutzung im technischen Sinn Web Dienst Dienst Dienst Dienst Dienst Dienst Lokales IDM ... Zugriff bwIDM Zusammenschluss 1. Lokales IDM Es geht um … DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Dienst 4 bwIDM bwIDM Alleinstellungsmerkmale • bwIDM verwendet SAML und die Shibboleth Implemen$erung – Hoher Verbreitungsgrad – gut erprobt • Föderieren nicht-­‐webbasierter Zugänge – SAML (Shibboleth) für webbasierte Dienste (WebSSO) – bekannt – SAML unterstützt auch nicht-­‐webbasierte – weniger bekannt – bwIDM realisiert ein SAML-­‐basiertes Zugangsverfahren für nicht-­‐ webbasierte Dienste • IDM Unterstützung (Provisionierung) – Kopplung des IDM-­‐lokalen Kontos mit dem Dienst-­‐lokalem Konto – Datenschutzkonforme Nutzeraktualisierungen – Datenschutzkonforme Entsorgung dienst-­‐lokaler Nutzerkonten • bwIDM definiert eine Födera$on und notwendige Randbedingungen, die von den Teilnehmern umgesetzt werden 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 5 bwIDM bwIDM BW-­‐GRID BW-­‐GRID weitere Dienste Vereinbarungen Hochschulen (§6, §28) Techn. Anbindung Richtlinien Dienst Richtlinien BW-­‐IDM Fachkonzept Technische Standardisierung IDM und Zugangskontrolle bwUniCluster IDM bwForCluster bwIDM bwIDM IBS|BW LSDF BW-­‐ IDM BW-­‐ bwIDM bwIDM realisiert einen technischen Verbund (Födera-on) zur gegensei-gen Dienstnutzung 07.05.2013 Lokales IDM Lokales IDM Lokales IDM DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Lokales IDM Beteiligte (§6) BW-­‐IDM Födera$onsschicht Lokales IDM bwIDM 6 bwIDM bwIDM -­‐ Projekt • Beteiligte Einrichtungen – Die Universitäten des Landes Baden-­‐WürPemberg • Heidelberg, Hohenheim, Mannheim, StuPgart, Tübingen – Kern-­‐Team • • • • Universität Freiburg Karlsruher Ins$tut für Technologie (PL) Universität Konstanz Universität Ulm • Unterstützt durch das Ministerium für Wissenscham, Forschung und Kunst Baden-­‐WürPemberg (MWK) • Laufzeit: 1.7.2011-­‐31.12.2013 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 7 bwIDM Arbeitsbereiche im Überblick Governancestrukturen aufgebaut Födera$onstechnologie und Landesdienste evaluiert SchniPstellen und DS/ Sicherheit definiert Rahmenkonzept Bestandsaufnahme und Prozessanalyse Commitmentphase Fachkonzepte Jul 11 07.05.2013 Dez 11 Jul 12 „commiPed“ Partner etabliert Dez 12 Jul 13 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Fachkonzepte umgesetzt, lokale IDMs integriert Dez 13 8 bwIDM BWIDM TECHNOLOGIE 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 9 bwIDM bwIDM-­‐Tech: LDAP-­‐Facade Service Provider (KIT) bwSync&Share SAML-­‐Federa$on … Uni Ulm KIT Uni Konstanz Uni Mannheim bwFileStorage bwHPC … Service Provider (Org) Service Provider (Org) Service Provider (Org) 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 10 bwIDM bwIDM-­‐Tech: LDAP-­‐Facade Service Provider (KIT) bwSync&Share SAML-­‐Federa$on … Uni Ulm KIT 2 Uni Konstanz Uni Mannheim bwFileStorage LDAP Facade bwHPC 1 Web-­‐ Registrierung … WebSSO 07.05.2013 1 Registrierung für lokales Konto über WebSSO 2 Provisionierung des lokalen Kontos DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 11 bwIDM Ablauf aus Sicht des Nutzers Registrierung • Über Web-­‐Registrierung (Browser) • Authen$fizierung basiert auf dem Account bei der Heimatorganisa$on des Nutzers Provisionierung eines lokalen Kontos Muss nur einmalig durchgeführt werden. • Im SSH Fall: Generierung einer UID, Home-­‐Directory, … Zugriff auf den Dienst • über na$vem Client • Authen$fizierung/Autorisierung basiert auf Asser@ons der Heimatorganisa$on des Nutzers 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 12 bwIDM Performanz & ausfallsicherer Betrieb IDM NSS PAM Web-­‐Registrierung LDAP-­‐Facade User-­‐Gateway Login-­‐Knoten Cluster Cluster-­‐ Knoten Cluster-­‐ Knoten 07.05.2013 Cluster-­‐ Knoten Cluster-­‐ Knoten Cluster-­‐ Knoten Cluster-­‐ Knoten Cluster-­‐ Knoten Cluster-­‐ Knoten Cluster-­‐ Knoten Cluster-­‐ Knoten DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Cluster-­‐ Knoten 13 bwIDM BWIDM POLICIES 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 14 bwIDM Rahmenkonzept: Grundlegendes Policy-­‐ Mindestanforderungen an Modell Partner, APributkernset, Wer hält Richtlinie ein? Wer spezifiziert Richtlinie? Heimatorg. Fördera$on Dienst Minimalanforderungen an Technologie, BeitriP/AustriP, Zuständigkeit, … Dienst Federa$on Access Policy (FAP) Service Access Policy (SAP) Service Provider Policy (SPP) Nutzer Federa$on Acceptable Use Policy (FAUP) Service Acceptable Use Policy (SAUP) Anforderungen durch Dienst, APributset, … 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 15 bwIDM bwIDM und DFN: umgesetztes Policymodell „Mitglieder“ Service Provider DFN-­‐AAI Anbietervertrag Iden$ty Provider DFN-­‐AAI Dienstvereinbarung („Advanced“) DFN-­‐AAI bwIDM Federa$on Access Policy 07.05.2013 bwIDM DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer DFN-­‐AAI Rahmenvertrag 16 bwIDM bwIDM: geplanter Beantragungsprozess 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 17 bwIDM Nächste Schri]e • Inbetriebnahme der bwIDM Födera$on als Subfödera$on der DFN-­‐AII (Q2/2013) • Anstehende Inbetriebnahmen von – Im Rahmen bwHPC: bwUniCluster (1 von 5) – Im Rahmen bwLSDF: Sync&Share Lösung – Im Rahmen bwLSDF: bwFileZugriff 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 18 bwIDM Fragen? • Vielen Dank für Ihre Aufmerksamkeit Dr. Mar$n Nussbaumer [email protected] Steinbuch Centre for Compu$ng (SCC) Karlsruher Ins$tut für Technologie (KIT) 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 19