Infoveranstaltung Shibboleth
VZG
Infoveranstaltung
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
1
Infoveranstaltung Shibboleth
Verstehen, was Shibboleth ist und was es leistet
Identity Management Shibboleth
VZG
Föderation
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
2
Infoveranstaltung Shibboleth
VZG
„On the Internet, nobody knows you´re a dog“
Text
Peter Steiner, The New Yorker, 5 July 1993 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
3
Peter Steiner, The New Yorker, 5 July 1993
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
4
Infoveranstaltung Shibboleth
VZG
Benutzerdaten ... für personalisierte Anwendungen ... zur Lösung bestimmter Aufgaben
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
5
Infoveranstaltung Shibboleth
VZG
Probleme Redundanz, Inkonsistenz Karteileichen Intransparenz Aufwand, Kosten Welches Login wofür? ... 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
6
Infoveranstaltung Shibboleth
VZG
Identitiy Management / Identitätsmanagement Verwaltung von Benutzern und ihren Eigenschaften
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
7
Infoveranstaltung Shibboleth
VZG
Eigenschaften
Attribute
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
8
Infoveranstaltung Shibboleth
VZG
digitale Identität Rollen
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
9
Infoveranstaltung Shibboleth
VZG
Authentifizierung Autorisierung Single Sign On (SSO)
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
10
Infoveranstaltung Shibboleth
VZG
SSO • Nutzer haben einen Account für unterschiedliche Anwendungen über Institutionsgrenzen hinweg • Nur einmalige Anmeldung erforderlich • Nutzer können ihre Attribute verwalten • Unterschiedliche Nutzer haben unterschiedliche Privilegien
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
11
Infoveranstaltung Shibboleth
VZG
Aspekte des Identity Managements
Organisation(!) Technik
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
12
VZG
Infoveranstaltung Shibboleth
Ziel des Identity Managements Trennung von Personendaten und Anwendungen als Grundprinzip
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
13
Infoveranstaltung Shibboleth
VZG
verteiltes / föderiertes Identity Management Warum?
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
14
Infoveranstaltung Shibboleth
VZG
Aufgabentrennung Benutzerverwaltung: Identity Provider (IdP) Diensteanbieter: Service Provider (SP)
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
15
Infoveranstaltung Shibboleth
Ziele des föderierten Identity Managements EINE digitale Identität, organisationsübergreifend Authentifizierung nur bei Heimatorganisation SSO, anwendungsübergreifend
VZG
Autorisierung bei Diensteanbieter
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
16
Infoveranstaltung Shibboleth
VZG
http://shibboleth.internet2.edu
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
17
Infoveranstaltung Shibboleth
VZG
Woher kommt „Shibboleth“? Hintergrund ist eine Stelle aus dem Alten Testament,Buch Richter, Kapitel 12, Vers 5ff:Und die Gileaditer nahmen ein die Furt
des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. (Zitat: http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)
Das Wort „Shibboleth“ war somit wohl das erste biometrische Autorisierungsverfahren! Das Wort „Shibboleth“ war somit wohl das erste biometrische Autorisierungsverfahren! Folie: Ato Rupper, UB Freiburg, 2006 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
18
Infoveranstaltung Shibboleth
VZG
Was ist Shibboleth? Konzept für ein Föderiertes Identity Management
Open Source Middleware
http://middleware.internet2.edu
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
19
Infoveranstaltung Shibboleth
Authentifizierungs- und Autorisierungs-Infrastruktur
VZG
Quelle: http://www.switch.ch/aai/about/
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
20
Infoveranstaltung Shibboleth
Informationsfluss mit Shibboleth (1) (3) Benutzer
(5)
Lokalisierungsdienst
(4)
Benutzer berechtigt?
VZG
(7) Heimateinrichtung
nein ja
(6)
(8)
(2)
Benutzer bekannt?
ja nein
(9) gestattet verweigert
Zugriff
Anbieter Folie: verändert nach Ato Rupper, UB Freiburg, 2006 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
21
Infoveranstaltung Shibboleth
VZG
Vorteile für Nutzer
• Nutzer haben nur noch eine digitale Identität, SSO, einheitliche Rechte, Transparenz (wo sind meine Daten?) • Benutzer kann ggf. selbst bestimmen, was er preisgeben möchte
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
22
Infoveranstaltung Shibboleth
VZG
Vorteile für IdP • Identity Provider: kein Zusatzaufwand zur Verwaltung von Zugangsdaten bei neuen Diensten, können Ihren Benutzern besseren Service bieten (z.B. orts/IP-Adressunabhängige Nutzung von Diensten) • Datenschutz: Nur IdP kennt Nutzerdaten, nur zweckgebundener Austausch von Attributen, keine Personalisierung notwendig, Benutzer kann selbst bestimmen, was er preisgeben möchte 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
23
Infoveranstaltung Shibboleth
VZG
Vorteile für SP
• Service Provider brauchen keine Zugangs /Benutzerdaten mehr pflegen
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
24
Infoveranstaltung Shibboleth
VZG
Vertrauen Verträge Verschlüsselung
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
25
Infoveranstaltung Shibboleth
VZG
Föderation vertraglicher, organisatorischer und technischer Rahmen für verteiltes Identity Management mit Shibboleth
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
26
Infoveranstaltung Shibboleth
VZG
Beziehungsgeflecht
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
27
Infoveranstaltung Shibboleth
VZG
Architektur
Quelle: http://www.switch.ch/aai/about/federation/ 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
28
Infoveranstaltung Shibboleth
VZG
Aufgaben einer Föderation • Festlegung des Rahmens für die Föderation: ★ Gremien, Befugnisse, Vertragsprinzipien ★ Voraussetzungen für die Mitgliedschaft ★ Rechte und Pflichten der Föderation und der Mitglieder ★ Richtlinien (Policies), insbesondere für den Austausch von Attributen und für Zertifikate
Folie: Bernd Oberknapp, UB Freiburg 2006 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
29
Infoveranstaltung Shibboleth
VZG
Aufgaben einer Föderation • Aufbau der Betriebsstrukturen: ★ Verwaltung der Metadaten (Informationen über Identity- und Service-Provider und Zertifikate – fundamental für Vertrauen und Sicherheit in der Föderation!) ★ zentrale Dienste (Lokalisierungsdienst, Testumgebung) ★ technischer Support
Folie: Bernd Oberknapp, UB Freiburg 2006 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
30
Infoveranstaltung Shibboleth
Shibboleth: Föderationen AUS http://mams.melcoe.mq.edu.au/zope/mams
USA http://www.columbia.edu/~jb701/nsdl/shib_exp.html
VZG
http://www.incommonfederation.org
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
31
Infoveranstaltung Shibboleth
Shibboleth: Föderationen CH
http://www.switch.ch/aai/
DK
http://www.dkaai.dk/Home.html
F
VZG
http://federation.cru.fr/cru/indexen.html
FIN http://www.csc.fi/suomi/funet/middleware/english/index.phtml 13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
32
Infoveranstaltung Shibboleth
Shibboleth: Föderationen N http://feide.no/index.en.html
UK
http://sdss.ac.uk/
VZG
http://www.ukfederation.org.uk
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
33
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
34
Infoveranstaltung Shibboleth
http://aar.vascoda.de
VZG
http://www.dfn.de/content/dienstleistungen/dfnaai/
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
35
Infoveranstaltung Shibboleth
VZG
Virtual Home Organisation (VHO)
Nutzer, die keiner Einrichtung angehören.
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
36
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
37
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
38
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
39
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
40
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
41
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
42
Infoveranstaltung Shibboleth
VZG
13.02.07
Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek
43
