Verteilte Authentifizierung, Autorisierung und Rechteverwaltung (AAR) Franck Borel, Jochen Lienhard, Bernd Oberknapp, Ato Ruppert & Hannah Ullrich
Inhalt • • Wozu AAR? Was ist AAR? Wie funktioniert AAR? Problematik bei der Umsetzung Was ist notwendig um AAR einzusetzen? Demo Zum Projekt 2
Wozu AAR? Authentifizierung notwendig: • Zugriff auf Ressourcen auf bestimmte Benutzer oder Benutzergruppen einschränken • Inhalte sollen personalisiert angeboten werden 3
Wozu AAR? Probleme aus der Sicht des Anbieters: • Aufwändige Registrierung und Verwaltung der Benutzer bei jeder Ressource • Ressourcen bleiben ungeschützt, da der Aufwand für einen geeigneten Schutz zu groß ist 4
Wozu AAR? Probleme aus der Sicht der Einrichtung: • Hoher Aufwand für die Einrichtung neuer Anbieter in das eigene Angebot • Hoher Aufwand für den Schutz eigener Ressourcen (z. B. E-Learningmodule) 5
Wozu AAR? Probleme aus der Sicht des Benutzers: • Benutzer müssen sich für jeden Dienst neu authentifizieren • Benutzer benötigen verschiedene Benutzerkennungen und Passworte für verschiedene Dienste • Bei vielen Ressourcen ist der Zugriff nur innerhalb der eigenen Einrichtung möglich 6
Heute – ohne AAR Universität A Mail Web E-Learning Anbieter Universität B E-Journal DB-Recherche E-Learning 7
Morgen – mit AAR Universität A AAR Mail Web E-Learning Anbieter Universität B E-Journal DB-Recherche E-Learning 8
Also, was genau ist AAR? • Eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung • Ein System, um verschiedene Ressourcen mit einem einzigen Account nutzen können • Ein System, welches auf einem föderativen Ansatz baut: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen • Ein System, welches auf Shibboleth basiert 9
Vorteile aus Sicht des Anbieters • Geringer Aufwand für den Schutz von Ressourcen • Es ist keine Benutzerverwaltung erforderlich • Ressourcen können differenziert geschützt werden. 10
Vorteile aus der Sicht der Einrichtung • Die Einbindung neuer Ressourcen in das eigene Angebot ist sehr einfach • Mitgliedern anderer Einrichtungen kann leicht Zugriff auf eigene geschützte Ressourcen gewährt werden 11
Vorteile für den Benutzer • Die Nutzung der Ressourcen ist unabhängig von Standort und Zugriffsweg möglich • Der Benutzer muss sich nur einmal authentifizieren • Datenschutz wird respektiert 12
Wie funktioniert AAR? Durch Zauberei… : -) Hex, hex! 13
Wie funktioniert AAR? (1) (3) Benutzerin Lokalisierungsdienst nein ja (5) (4) (6) Benutzerin berechtigt? (7) (8) Heimateinrichtung (2) Benutzerin bekannt? ja nein (9) gestattet verweigert Zugriff Anbieter 14
Welche Probleme gibt es bei der Umsetzung von AAR? • IP-Kontrolle: Manche Einrichtungen verwenden kein Authentifizierungssystem • Erweiterung des bestehenden Authentifizierungssystems um zusätzliche Attribute nicht ohne weiteres machbar • Anbieter müssen überzeugt werden, AAR zu nutzen • Eigene Dienste müssen für AAR angepasst werden 15
Was ist notwendig um AAR einzusetzen? • Authentifizierungssystem muss vorhanden sein – z. B. Freiburg: LDAP, Bi. Ber – Heidelberg: SISIS – Fachhochschulen: Horizon (BSZ) • Anschluss an eine Föderation 16
Demo • Demo-Umgebung von Blackboard • lokale Demo-Umgebung 17
Zum Projekt • • Finanziert durch das BMBF Partner: UB Regensburg (R) Einbettung in vascoda Dauer 3 Jahre: 2 Jahre Entwicklungsphase, Interne Testphase + 1 Jahr Installation und Support für Anbieter und Einrichtungen 18
Zum Projekt Was muss gemacht werden um AAR an der Uni Freiburg zu integrieren: • Anbindung an die verschiedenen Authentifizierungssysteme der UB Freiburg (z. B. LDAP, Bi. BER) • Attributspeicher muss implementiert werden • Ressourcen shibboleth-fähig machen: – Re. DI, – CLIX, – weitere Uni-Dienste 19
Zum Projekt Die nächsten Schritte: • Re. DI auf Shibboleth umstellen (FR) • Rechteserver entwickeln (R) • Stabile Organisation für die Förderation aufbauen • Leitende Instanz für die Föderation finden: – DFN – vascoda 20
Скачать презентацию Verteilte Authentifizierung Autorisierung und Rechteverwaltung AAR Franck Borel
4eb694cd0cae7553ca5fcddcce18b0a9.ppt