Shibboleth und der föderative Ansatz

Authentifizierung, Autorisierung und Rechteverwaltung in einem föderativen Umfeld

Ato Ruppert

UB Freiburg

2

Authentifizierung, Autorisierung, Rechteverwaltung

• Motivation

• Was ist AAR?

• Föderationen und Rechtliches

Übersicht

3

Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter

• Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen.

• Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.

• Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden.

Was wollen wir erreichen?

Demo:

4

• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung

• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“)

• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen

• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR ergänzt Shibboleth um einen Rechteserver

Was ist AAR?

5

Heimateinrichtung

Benutzerin

Anbieter

Benutzerin bekannt?

(1)

(4)(5) Benutzerin berechtigt?

(6)

(7)

(8)verweigertnein

ja

neinLokalisierungsdienstWAYF

(2)(3)

Wie funktioniert AAR?

(9)gestattet Zugriffja

6

Wie funktioniert AAR?

AAR verwendet Shibboleth V 1.3 (später 2.0)

Shibboleth baut auf folgende Standards auf:

• HTTP

• XML

• XML Schema (XSD)

• XML Signatur (XMLDisg)

• SOAP

• SAML 1.1 (später 2.0)

HTTP/HTTPS

SOAP Nachricht

SOAP Header

SOAP Body

SAML Anfrage/Antwort

7

Wie funktioniert AAR?(auf der Einrichtungsseite)

Apachemod_jk

Tomcat

SSO (HS) Attribute Authority

ARP

Authentifizierung über Tomcat oder Apache schützt

SSO (HS)

Autorisierung

Einrichtung (Identity Provider)

Benutzerdaten

Richtlinien für die Freigabe

von Attributen

LDAP...

SQL

8

Wie funktioniert AAR?(auf der Anbieterseite)

Apache

Assertion Consumer Service

AAP

Anbieter (Service Provider)

Attribute Requester

Ressourcen

fragt Attribute bei der AA ab

definiert, welche Attribute für den Zugriff

auf die Ressourcen erforderlich sind

Access Control

kontrolliert den Zugriff auf die Ressourcen

R

9

• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.

• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.

• DFN und AAR bauen gemeinsam eine deutschlandweite Föderation auf.

Was ist eine Föderation?

10

Aufbau einer Föderation

Für den Aufbau einer Föderation muss(mindestens) festgelegt werden:• Organisationsstruktur• Voraussetzungen für die Mitgliedschaft• Rechte und Pflichten der Föderation und Mitglieder• Richtlinien

– Aufnahmeverfahren für neue Mitglieder– Aktualisierung der Metadaten– akzeptierte (CA-)Zertifikate– Standardattribute, Datenschutz– Vorgehensweise bei Missbrauch

11

Föderation als Konsortium mit externer Verwaltung

E4

E…

Die organisatorischen Aufgaben zu AAR werden extern vergeben.Alle Entscheidungen verbleiben in der Föderation.Verträge: Multilateral mit allen BeteiligtenGrenze: Größe der Föderation

En

E2Externer Verwalter

Externer Verwalter (DFN)

E3

E1

Föderation

12

Föderation als Dienstangebot des DFN

E1

E2

E4E3

E5

E…

En

Die organisatorischen Aufgaben werden als Dienst des DFN denEinrichtungen der Föderation angebotenen und von der Föderation kontrolliert.Verträge: Bilateral zwischen Teilnehmer und zentraler EinrichtungBeispiele: Switch, Haka, InCommon

DFN

Föderation

13

Teilnehmer der Föderation und ihre Rollen

• Mitglieder (Unis, FHs, etc):– Einrichtung = Identity Provider– Anbieter (etwa eLearning-Angebote)

• Partner– Anbieter (auch kommerzielle!)

• Steuerungsgremien– Überwachung und Entscheidung

• Operator– Koordinationsdienst für die Föderationsverwaltung

14

Beispiel: Haka/Finnland(Quelle: Mikael Linden, CSC)

Die Organisationsstruktur von Haka entspricht der von SWITCHaai

Federation partners

Operator

Federation members

CSC – scientific computing ltd

Central AAI services

IdP PalveluPalvelu

PalveluIdP Palvelu

PalveluPalvelu

IdP SPSP

SP

SPSP

SP

Advisory co

mm

.

Ope

rations comm

.

15

Dienste des Föderationsoperators

• Vorgabe von Richtlinien (Policies)• Verwaltung Metadaten der Mitglieder • Betrieb eines Lokalisierungsdienstes • Betrieb einer Zertifizierungsstelle• Betrieb einer Testumgebung• Technischer Support

Status

• inArbeit: DFN, AAR

• inArbeit: DFN, AAR

• verfügbar: AAR

• verfügbar: DFN

• verfügbar: AAR

• verfügbar: AAR

16

Datenschutz 1 (Datenhaltung)

Europäisches Recht (Art. 6): Personenbezogene Datendürfen nur für spezielle Aufgaben verarbeitet werden!

• Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre.

Daraus folgt:• Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck

entsprechen! (Bei Unis u.a. ist das per se so)

Auf Seiten der (auch kommerziellen) Dienstanbieter (SP):• Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja• Z.B. EBAY, Kaufhäuser: Nein• Behörden: ?

17

Datenschutz 2 (Weitergabe von Attributen)

Europäisches Recht (Art. 7), §§18-20 LDSG-BW: Weitergabe personenbezogener Daten nur wenn

notwendig1. Zur Vertragserfüllung (mit den Anbietern)2. Gesetzliche Grundlagen vorliegen3. Zum Schutz vitaler Interessen (der Anbieter)4. Zur Erfüllung der Leistung eines Auftrages (des Anbieters)– und5. Nach ausdrücklicher Zustimmung der betroffenen Person

Fazit: Bei der Gründung der Föderation muss der Zweck festgelegt werden!

18

Attribut-Schemata

• Mehrere Grundlagen liegen vor:– eduPerson Specification (internet2)– funetEduPerson (Haka)– SCHAC-IAD Version 1.0.0 (Terena)– SwissEduPerson (Switch)

Beachte: Weltweite, kommerzielle Partner halten sich bisher i.a. an eduPerson! (wg. InCommon)

19

Shibboleth-Standardattribute

• Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema: http://www.incommonfederation.org/docs/policies/federatedattributes.html

• Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement)

• Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vorkonfiguriert sind

• Beispiele:– eduPersonScopedAffiliation (member@..., staff@...)– eduPersonTargetedID (r12345z@...)– eduPersonPrincipalName (ruppert@uni-freiburg.de)

20

Zum Abschluss:Stand und Ausblick zum Projekt

• Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar

• Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider)

• ReDI wurde im Januar auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider)

• Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt

• Der Rechteserver wird bis Mitte 2006 als Prototyp zur Verfügung stehen.

• Am 23. März 2006 wird ein Workshop für Anbieter in Freiburg stattfinden

21

Links

• Allgemeines– http://aar.vascoda.de/links.php– http://www.terena.nl/tech/– http://www.geant2.net/upload/pdf/GN2-05-192v6.pdf

• Attribut-Schemata– http://www.csc.fi/suomi/funet/middleware/valinen/funetEduPerson_1_0.pdf– http://www.nmi-edit.org/eduPerson/draft-internet2-mace-dir-eduperson-

00.html– http://www.terena.nl/tech/task-forces/tf-emc2/docs/schac/schac-schema-IAD

-rc2.pdf– http://www.switch.ch/aai/docs/swissedu.schema– http://www.incommonfederation.org/docs/policies/federatedattributes.html

• Datenschutz– http://www.bfdi.bund.de/DE/Home/homepage__node.html– http://www.baden-wuerttemberg.datenschutz.de/recht/ldsg/default.htm– EU-Richtlinie

22

Danke für Ihre Aufmerksamkeit!

AAR ist ein Projekt der UB Freiburg und UB Regensburg.

Gefördert vom BMBF (PT-NMB+F )

aar.vascoda.deinfo@aar.vascoda.de

ruppert@ub.uni-freiburg.de