AAI

DARIAH-DE Autorisierungs- und Authentifizierungs-Infrastruktur

Ein Weg Effizienz, Sicherheit und Benutzerfreundlichkeit zu steigern ist Single Sign-On (SSO). Es handelt sich um einen Prozess in dem ein Benutzer durch das Authentifizieren mit nur einem Account Zugang zu  verschiedenen Diensten und Anwendungen innerhalb und außerhalb der organisatorischen Grenzen haben kann. In DARIAH-DE wird SSO durch die DARIAH-DE AAI ermöglicht. Die DARIAH-DE AAI (Autorisierungs- und Authentifizierungs-Infrastruktur) basiert auf den beiden internationalen Standards LDAP und SAML.

Der IETF-Standard LDAP beschreibt ein Netzwerkprotokoll (wie etwa HTTP) und ein Datenmodell, um Verzeichnisdaten im Netz abzulegen. Insbesondere für Personen- und Organisationsinformationen gibt es ein standardisiertes Schema. Eine wichtige Anwendung von LDAP ist die Implementierung eines zentralen Authentifizierungsservers.

DARIAH-DE nutzt die Open Source Implementierung OpenLDAP für die Benutzerverwaltung, die über einen im Projekt implementierten webbasierten Self-Service und Adminstrationsoberflächen bedient werden kann. Berechtigungen für DARIAH-DE-Dienste werden über ebenfalls im LDAP-Server verwaltete Mitgliedschaften in Autorisierungsgruppen (z.B. Gruppe alle Mitglieder, die im internen Bereich des DARIAH-DE Wikis Schreibrecht haben) gesteuert.

Der OASIS-Standard SAML steht für Security Assertion Markup Language und hat sich im letzten Jahrzehnt sowohl im Hochschulbereich als auch in der Industrie durchgesetzt. Der primäre Einsatzbereich von SAML sind Anwendungen, die eine Authentifizierung erfordern, und Einrichtungen, zu denen BenutzerInnen gehören. Anwendungen und Einrichtungen sind in der Regel lose innerhalb sogenannter Föderationen gekoppelt und gehören oftmals rein administrativ zu verschiedenen Organisationen. Der OASIS-Standard SAML definiert somit das Vokabular, über das diese Organisationen miteinander kommunizieren, damit sich BenutzerInnen der Einrichtungen bei den gewünschten Anwendungen authentifizieren können. Dazu betreibt die Einrichtung einen sogenannten Identity Provider (IdP), der an die Benutzerverwaltung angeschlossen ist und ein Login erlaubt. Der Anbieter der Anwendung betreibt seinerseits einen Service Provider (SP), der die Informationen über die / den BenutzerIn auf sicherem Wege vom IdP bezieht und an die Anwendung weitergibt.

DARIAH-DE verwendet als SAML-Implementierung die Open Source Software Shibboleth und ist Teil der deutschen Hochschulföderation DFN-AAI. Dies bedeutet, dass Mitglieder an deutschen Hochschulen sich für DARIAH-DE-Dienste authentifizieren können. Im Rahmen des europäischen Geant-Projekts nimmt die DFN-AAI an der Meta-Föderation eduGain teil, sodass DARIAH-DE-Dienste auch BenutzerInnen der dort angebundenen nationalen Föderationen offenstehen. Zusätzlich unterhält DARIAH-DE einen sogenannten homeless IdP, der vor die oben beschriebene LDAP basierte DARIAH-DE-Benutzerverwaltung geschaltet ist und der es BenutzerInnen ohne entsprechenden Account an einer Forschungseinrichung in einer der angebundenen Föderationen ermöglicht, an Projekten und Diensten teilzuhaben.

DARIAH-DE-Dienste können neben den Benutzerdaten, die sie von den IdPs der jeweiligen Einrichtung bekommen, zur Autorisierung (d.h. der Entscheidung des Zugriffs eines konkreten Benutzers auf eine bestimmte Ressource) noch weitere Attribute von einer zentralen Instanz abfragen. Dazu fungiert der DARIAH-DE homeless IdP als sogenannte SAML Attribute Authority, der die Mitgliedschaft von Benutzern in Autorisierungsgruppen  an die Dienste weitergibt. Dazu muss  sich ein(e) FöderationsbenutzerIn einmalig im Zuge des Erstzugriffs auf einen DARIAH-DE-Dienst bei der Attribute Authority registrieren. Ein Schaubild dieser Infrastruktur ist nachfolgend abgebildet.

 

 

Links dargestellt ist der LDAP-Server, in dem unter ou=people die DARIAH-Accounts und Personendaten (Name, Emailadresse, Organisationszugehörigkeiten sowie ob die / der BenutzerIn die Benutzerordnung akzeptiert hat) gespeichert werden. Unter ou=shibpeople werden dieselben Daten für die BenutzerInnen gespeichert, die sich über die Föderation mit ihrem Campus-Account authentifiziert haben. Unter ou=groups werden die Autorisierungsgruppen gepflegt, wobei die Mitglieder aus beiden Personenbereichen stammen können.

Vor jedem DARIAH-DE-Dienst ist ein Shibboleth-Service-Provider geschaltet, der überprüft, ob in der Benutzerverwaltung ausreichende Daten, sowie die Zustimmung der Benutzerordnung gespeichert ist, und leitet die / den BenutzerIn zu einem Registrierungsinterface, falls diese Daten noch fehlen. In jedem Fall gibt der SP die von der DARIAH-DE Ressource benötigten Attribute und Gruppenzugehörigkeiten an diese weiter, sodass dort die Autorisierungs-entscheidung getroffen werden kann.

 

Links:

DARIAH-AAI: https://wiki.de.dariah.eu/x/JQurAg

LDAP: http://www.ietf.org/rfc/rfc4511.txt

OpenLDAP: http://www.openldap.org

SAML: http://www.oasis-open.org/committees/security

Shibboleth: https://shibboleth.net/

DFN-AAI: https://www.aai.dfn.de/

eduGain: http://www.geant.net/service/eduGAIN/Pages/home.aspx

Footer Standarddienste

 

Sind noch Fragen offen geblieben oder möchten Sie weitere Informationen? Sie erreichen uns unter info@de.dariah.eu.