bwIDM - DFN-Nutzergruppe Hochschulverwaltung

bwIDM bwIDM – Födera)ves Iden)tätsmanagement nicht-­‐webbasierter Dienste Mar$n Nussbaumer, KIT Mannheim, 7. Mai 2013 bwIDM bwIDM – Vision •  Mo-va-on: Beobachtbarer Trend zu verteilten Diensten –  zunehmende Spezialisierung von IT-­‐Diensten: inspiriert durch Ansätze wie U$lity Compu$ng, Gridansätze, Storage Clouds, Cloud Compu$ng, usw. –  In Baden-­‐WürPemberg: Hochleistungsrechnen (bwHPC), Large Scale Data Facility (LSDF), landesweites integriertes Bibliothekssystem, … •  Ziel: bequemer Zugriff zu verteilten Diensten wie im lokalen Umfeld –  Vergabe von Autorisierungskriterien bleiben „lokale Angelegenheit“ (Autonomie) –  Koordinierte Richtlinien für die Autorisierung bei Diensten (Födera$onsregeln) –  Verteilter Zugriff auf BW-­‐Dienste mit der an der lokalen Einrichtung vergebenen Kennung (Nutzerfreundlich) 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 2 bwIDM Grundannahmen •  Es wird keine zusätzliche Nutzerverwaltung auf Landesebene eingeführt. •  Es wird keine zusätzliche, redundante zentrale Datenhaltung persönlicher APribute auf Landesebene eingeführt. Keep It Simple & Stupid (KISS) à  Das Konzept soll für die lokalen IDM-­‐Betreiber so einfach wie möglich umzusetzen sein (minimal-­‐invasiv). à  Das Konzept soll für die Dienstbetreiber so einfach wie möglich umzusetzen sein. •  bwIDM baut keine lokalen IDM-­‐Systeme auf –  Es spezifiziert aber Anforderungen an lokale IDM-­‐Systeme 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 3 bwIDM bwIDM -­‐ Kernaufgaben 2. 
... „Iden$tätsmanagement“ –  Lebenszyklus von Personen, APributen, Autorisierungsmerkmalen –  Gewährleistung von Verlässlichkeit 3. 
Compute Storage ... einen Zusammenschluss –  zu einem übergreifenden Ganzen –  Eigenständigkeit lokaler IDMs 07.05.2013 … Lokales IDM –  Zusammenarbeit mit anzu-­‐ schließenden Diensten Lokales IDM –  Dienstnutzung im technischen Sinn Web
Dienst Dienst Dienst Dienst Dienst Dienst Lokales IDM ... Zugriff bwIDM Zusammenschluss 1. 
Lokales IDM Es geht um … DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Dienst 4 bwIDM bwIDM Alleinstellungsmerkmale •  bwIDM verwendet SAML und die Shibboleth Implemen$erung –  Hoher Verbreitungsgrad –  gut erprobt •  Föderieren nicht-­‐webbasierter Zugänge –  SAML (Shibboleth) für webbasierte Dienste (WebSSO) – bekannt –  SAML unterstützt auch nicht-­‐webbasierte – weniger bekannt –  bwIDM realisiert ein SAML-­‐basiertes Zugangsverfahren für nicht-­‐
webbasierte Dienste •  IDM Unterstützung (Provisionierung) –  Kopplung des IDM-­‐lokalen Kontos mit dem Dienst-­‐lokalem Konto –  Datenschutzkonforme Nutzeraktualisierungen –  Datenschutzkonforme Entsorgung dienst-­‐lokaler Nutzerkonten •  bwIDM definiert eine Födera$on und notwendige Randbedingungen, die von den Teilnehmern umgesetzt werden 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 5 bwIDM bwIDM BW-­‐GRID BW-­‐GRID weitere Dienste Vereinbarungen Hochschulen (§6, §28) Techn. Anbindung Richtlinien Dienst Richtlinien BW-­‐IDM Fachkonzept Technische Standardisierung IDM und Zugangskontrolle bwUniCluster IDM bwForCluster bwIDM bwIDM IBS|BW LSDF BW-­‐
IDM BW-­‐
bwIDM bwIDM realisiert einen technischen Verbund (Födera-on) zur gegensei-gen Dienstnutzung 07.05.2013 Lokales IDM Lokales IDM Lokales IDM DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Lokales IDM Beteiligte (§6) BW-­‐IDM Födera$onsschicht Lokales IDM bwIDM 6 bwIDM bwIDM -­‐ Projekt •  Beteiligte Einrichtungen –  Die Universitäten des Landes Baden-­‐WürPemberg •  Heidelberg, Hohenheim, Mannheim, StuPgart, Tübingen –  Kern-­‐Team • 
• 
• 
• 
Universität Freiburg Karlsruher Ins$tut für Technologie (PL) Universität Konstanz Universität Ulm •  Unterstützt durch das Ministerium für Wissenscham, Forschung und Kunst Baden-­‐WürPemberg (MWK) •  Laufzeit: 1.7.2011-­‐31.12.2013 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 7 bwIDM Arbeitsbereiche im Überblick Governancestrukturen aufgebaut Födera$onstechnologie und Landesdienste evaluiert SchniPstellen und DS/
Sicherheit definiert Rahmenkonzept Bestandsaufnahme und Prozessanalyse Commitmentphase Fachkonzepte Jul 11 07.05.2013 Dez 11 Jul 12 „commiPed“ Partner etabliert Dez 12 Jul 13 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Fachkonzepte umgesetzt, lokale IDMs integriert Dez 13 8 bwIDM BWIDM TECHNOLOGIE 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 9 bwIDM bwIDM-­‐Tech: LDAP-­‐Facade Service Provider (KIT) bwSync&Share SAML-­‐Federa$on … Uni Ulm KIT Uni Konstanz Uni Mannheim bwFileStorage bwHPC … Service Provider (Org) Service Provider (Org) Service Provider (Org) 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 10 bwIDM bwIDM-­‐Tech: LDAP-­‐Facade Service Provider (KIT) bwSync&Share SAML-­‐Federa$on … Uni Ulm KIT 2
Uni Konstanz Uni Mannheim bwFileStorage LDAP Facade bwHPC 1
Web-­‐
Registrierung … WebSSO 07.05.2013 1
Registrierung für lokales Konto über WebSSO 2
Provisionierung des lokalen Kontos DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 11 bwIDM Ablauf aus Sicht des Nutzers Registrierung •  Über Web-­‐Registrierung (Browser) •  Authen$fizierung basiert auf dem Account bei der Heimatorganisa$on des Nutzers Provisionierung eines lokalen Kontos Muss nur einmalig durchgeführt werden. •  Im SSH Fall: Generierung einer UID, Home-­‐Directory, … Zugriff auf den Dienst •  über na$vem Client •  Authen$fizierung/Autorisierung basiert auf Asser@ons der Heimatorganisa$on des Nutzers 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 12 bwIDM Performanz & ausfallsicherer Betrieb IDM NSS PAM Web-­‐Registrierung LDAP-­‐Facade User-­‐Gateway Login-­‐Knoten Cluster Cluster-­‐
Knoten Cluster-­‐
Knoten 07.05.2013 Cluster-­‐
Knoten Cluster-­‐
Knoten Cluster-­‐
Knoten Cluster-­‐
Knoten Cluster-­‐
Knoten Cluster-­‐
Knoten Cluster-­‐
Knoten Cluster-­‐
Knoten DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer Cluster-­‐
Knoten 13 bwIDM BWIDM POLICIES 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 14 bwIDM Rahmenkonzept: Grundlegendes Policy-­‐
Mindestanforderungen an Modell Partner, APributkernset, Wer hält Richtlinie ein? Wer spezifiziert Richtlinie? Heimatorg. Fördera$on Dienst Minimalanforderungen an Technologie, BeitriP/AustriP, Zuständigkeit, … Dienst Federa$on Access Policy (FAP) Service Access Policy (SAP) Service Provider Policy (SPP) Nutzer Federa$on Acceptable Use Policy (FAUP) Service Acceptable Use Policy (SAUP) Anforderungen durch Dienst, APributset, … 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 15 bwIDM bwIDM und DFN: umgesetztes Policymodell „Mitglieder“ Service Provider DFN-­‐AAI Anbietervertrag Iden$ty Provider DFN-­‐AAI Dienstvereinbarung („Advanced“) DFN-­‐AAI bwIDM Federa$on Access Policy 07.05.2013 bwIDM DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer DFN-­‐AAI Rahmenvertrag 16 bwIDM bwIDM: geplanter Beantragungsprozess 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 17 bwIDM Nächste Schri]e •  Inbetriebnahme der bwIDM Födera$on als Subfödera$on der DFN-­‐AII (Q2/2013) •  Anstehende Inbetriebnahmen von –  Im Rahmen bwHPC: bwUniCluster (1 von 5) –  Im Rahmen bwLSDF: Sync&Share Lösung –  Im Rahmen bwLSDF: bwFileZugriff 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 18 bwIDM Fragen? •  Vielen Dank für Ihre Aufmerksamkeit Dr. Mar$n Nussbaumer [email protected] Steinbuch Centre for Compu$ng (SCC) Karlsruher Ins$tut für Technologie (KIT) 07.05.2013 DFN-­‐Nutzergruppe Hochschulverwaltung | M. Nussbaumer 19