MPG-AAI (MPG-wide Authentication and Authorization Infrastructure)[edit]

Ziel[edit]

In der MPG wird ein System eingeführt, das die MPG-Weite Authentifizierung einführt. Damit wird gewährleistet, daß alle MPG-Mitarbeiter mit einer Identität (einem Username und einem Password) auf alle Ressourcen in der MPG zugreifen können, zu denen ihnen Zugriffsrechte gegeben werden.

Basis[edit]

Ein erfolgversprechender Ansatz muß davon ausgehen, dass die Authentifizierung in den Instituten unterschiedlich gehandhabt wird und nicht ohne erhebliche Probleme unifiziert werden kann die MPIe in Bälde Teil von größeren "Identity and Resource Federations" sein werden und es somit notwendig ist, eine auf gegenwärtigen Trends aufbauende Infrastruktur zu realisieren ein zentrales User Management nicht möglich ist, sondern weiterhin distribuiert erfolgen muss, denn nur die MPIe und die GV kennen "ihre" Benutzer im einzelnen.

Immer mehr nationale und internationale "Identity and Resource Federations" setzen die Shibboleth Middleware ein als sicheres und akzeptiertes Zwischenglied. Wo es möglich ist, setzt Shibboleth auf allgemein anerkannte Standards wie zB. SAML auf. Die MPG sollte sich an die Trends anschließen und keinen eigenen Weg einschlagen.

Prinzip[edit]

Das folgende Bild gibt das Pinzip der Interaktion wieder, wenn man Shibboleth einsetzt. Ein User X ist an einem MPI als Benutzer registriert und will auf Ressourcen zugreifen, die zB. vom MPI Nijmegen und der MPDL zur Verfügung gestellt werden. Die Zugriffe können einzeln, sequentiell (typische Browser-Arbeitsweise) oder auch gemeinsam, parallel (typische Web-Applikations-Arbeitsweise) erfolgen. User X versucht über einen Browser oder eine Applikation auf eine oder mehrere Ressourcen zuzugreifen, die zugriffsgeschützt sind. Er wird daraufhin zurückgewiesen zur Authentifizierungs-Instanz, zB. das MPI Leipzig. Das ist und bleibt das Institut, bei dem User X einen Vertrag und damit auch einen Account hat. Er wird sich dort authentifizieren. Shibboleth wird nun dafür sorgen, dass bestimmte Informationen über diesen User X an die Ressourcen Anbieter übermittelt werden. Diese können jetzt die Authorisierung überprüfen und auch vornehmen, dh. hat dieser User oder die User-Klasse Zugriffrechte auf diese Daten. Im positiven Fall kann der Benutzer jetzt auf die angeforderten Daten zugreifen.

Shibboleth ist derart aufgesetzt, dass es Benutzer-Klassen unterstützt wie zB. "alle Direktoren" oder "alle Verwaltungs-Mitarbeiter". Das setzt entsprechende Einträge bei den Benutzer-Attributen und auch in den Authorisierungs-Records voraus. Oftmals werden in der Wissenschaft allerdings Rechte nur an bestimmte Individuen geknüpft, daher muß jeder Benutzer einen eindeutigen Benutzer-Namen haben. Dieser Name muß so gewählt werden, daß er auch über die MPG-Grenzen hinaus verwendbar ist. Alles basiert auf entsprechenden Nutzer-Klassifikationen und Abkommen, die eine Domäne des Vertrauens schaffen - daher der Begriff der "Federations".

Die teilnehmenden Institute müssen die Shibboleth Identity Provider Komponente installieren und ihr lokales Authentifizierungs-System entsprechend anpassen, wenn ihre Benutzer in der Föderation akzeptiert werden sollen, die Shibboleth Service (Resource) Provider Komponente installieren und ihr lokales Resource Management System entsprechend anpassen, wenn sie Ressourcen an alle anbieten wollen ihre Applikationen anpassen, wenn sie Web-Applikationen in einem derartigen System unterstützen wollen, denn diese müssen die ganze auf Redirects beruhende Interaktion unterstützen und User-Informationen zwischenspeichern.

Die Interaktion darf nur zwischen zertifizierten Servern und Services vorgenommen werden, wobei hier die EUGridPMA und TERENA spezifizierten Zertifikate zur Anwendung kommen, die jeweils PKI System-basiert zu signieren sind.

Meetings[edit]

eScience Seminar May 2007[edit]

The eScience Seminar was dedicated to "Secure server and service systems" and specially focused on Flexible Roaming and Shibboleth Infrastructures;
a working group was established to apply for a pilot project at the BAR.

Stuttgart 26. July 2007[edit]

Do. 26. July 2007 in MPI Solid State Science, Stuttgart, 10:00 - 17.00.

Topics were federation policies and attribute sets. We had a close look on policy from DFN AAI, please have a look at the presentations below:

• Bernd Oberknapp, AAR Uni-Freiburg
• Ulrich Kähler, DFN AAI

Munich 11. Dec 2007[edit]

Fr 11. Dec, MPDL 10-15h

After approval of the BAR application a constituitive meeting for the pilote phase took place

Munich 11. Feb 2007[edit]

...

Federations[edit]

• DFN-AAI
  • DFN-AAI requirements for IdP, SP
    • AAR Vascoda
• Switch AAI
  • Switchaai-Federation (attributes, policies, organization)

Attribute Sets[edit]

• Schac schema for academia, TERENA
• HISperson LDAP Schema, Hochschul-Informations-System GmbH, there was no no actual schema found, only a presentation of Peter Gietz, DAASI
• Comparison of higher education attribute sets, mace, Nov. 2005
• Introduction to Shibboleth attributes, Peter Gietz, DAASI, DFN workshop Feb. 2007

Unicode[edit]

Unicode

Further Informations[edit]

• Shibboleth Home
• Outlook Shibboleth 2.0, Bernd Oberknapp, DFN Workshop Feb. 2007
• Shib-Grid Integrated Authorization (Shintau) [1]

Cooperation between Grid and Shibboleth communities. 
Shintau evaluated the requirements by an international questionnaire and published the results [2].