Authentifizierung und Autorisierung mit Shibboleth in der Föderation DFN-AAI

von Franck Borel, Dr. Jochen Lienhard, Bernd Oberknapp, Ato Ruppert, Gerald Steilen

IP-Adresskontrolle wird heute trotz vieler damit zusammenhängender Fragen immer wieder eingesetzt, um Dienstangebote im Internet vor nicht gewünschten Zugriffen zu schützen. Eine Shibboleth-basierte Authentifizierung und Autorisierung im Rahmen der Föderation DFN-AAI bietet eine Alternative, die alle Probleme der IP-Kontrolle vermeidet und zudem noch ein Single SignOn-Verfahren anbietet. Im vorliegenden Artikel wird der Aufbau der Föderation DFN-AAI für die wissenschaftlichen Einrichtungen in Deutschland beschrieben und an mehreren Beispielen erläutert, wie die Arbeitsweise des Verfahrens Shibboleth ist und welche Möglichkeiten sich für Betreiber, Nutzer und Dienstanbieter bieten.

Grenzen der IP-Adresskontrolle zur Authentifizierung

In vielen Fällen wird heute noch die IP-Adresse eines PC zur Feststellung herangezogen, ob ein Dienst für Nutzer einer Einrichtung freigegeben ist oder nicht. Dieses Verfahren mag zunächst einfach erscheinen, bei näherem Hinsehen zeigen sich aber deutliche Schwächen: Die IP-Adresse definiert lediglich den Standort eines PC. Über den Nutzer und dessen Rechte sagt sie nichts aus. Es findet keine wirkliche Authentifizierung und Autorisierung statt. Dies ist mit Blick auf die Nutzungsverträge problematisch, wird aber von den Dienstanbietern mangels Alternativen hingenommen. Bei kleineren Hausnetzen ist der IP-Adressbereich einer Einrichtung eine überschaubare Angelegenheit. Bei großen Einrichtungen, wie z.B. Universitäten mit zusätzlich angegliederten Zentren wie Kliniken und Forschungseinrichtungen, ist eine solche Adressliste aber lang und unübersichtlich. Diese Liste aktuell zu halten ist aufwändig. Sie nach einer Korrektur an hunderte Dienstanbieter weiterzuleiten wird dann leicht zum Alptraum. Ein weiteres großes Problem ist die Ortsbindung, die durch die Nutzung der IP-Adresse zur Authentifizierung vorliegt. Es ist heute selbstverständlich, dass auch außerhalb der Einrichtung die eigene Arbeit fortgeführt wird, sei es daheim oder auf (Dienst-)Reisen. Preiswerte DSL-Anschlüsse ermöglichen den Zugang zu den gewohnten Ressourcen auch außerhalb der Universität. Um diese Ortsbindung der IP-Adresse aufzuheben müssen zusätzliche Verfahren wie VPN oder Proxies eingesetzt werden. Hierzu sind Konfigurationsänderungen am eigenen PC erforderlich, die den Nutzer überfordern. Letztlich kann diese Technik auch zunichte gemacht werden, wenn der eigene Netzanschluss hinter einer Firewall liegt oder aus netztechnischen Gründen den Eintrag eines speziellen Proxies erfordert. Rewriting Proxies (z.B. HAN-Serverⁱ, EZProxyⁱⁱ) sind je nach Anzahl einzutragender Dienste und deren Zieladressen für die Betreiber aufwändig zu pflegen und versagen letztlich bei Links von Dienstanbietern auf andere Dienstanbieter (sog. Reference Linking). Vor diesem Hintergrund wurde im Januar 2005 das Projekt "Authentifizierung, Autorisierung und Rechteverwaltungⁱⁱⁱ (AAR)" an der UB Freiburg begonnen.

Von der lokalen Anwendung zur deutschlandweiten Infrastruktur

Ziel des AAR-Teams war der Aufbau einer deutschlandweiten Infrastruktur zur einrichtungsübergreifenden Authentifizierung und Autorisierung von Web-Angeboten. Die Grundlage dieser Arbeit war die Open Source Software Shibboleth^iv. Ausschlaggebend für diese Festlegung war zum einen, dass Shibboleth auf international anerkannten Standards aufbaut und zum anderen, dass bereits zu Projektbeginn weltweit eine große Anzahl von Hochschulen, Forschungseinrichtungen und auch Dienstanbietern gab, - hier insbesondere Verlage mit elektronischen Angeboten im Internet - die diese Software unterstützten. Shibboleth basiert auf einem föderalen Ansatz: Die Einrichtung authentifiziert die (eigenen) Nutzer und der Dienstanbieter prüft die Berechtigung und gibt entsprechend den Dienst frei. Hierzu werden ihm geeignete Informationen, so genannte Attribute zur Verfügung gestellt, die ja nach Anforderung an den Dienst anonym oder pseudonym sind. (Zum Ablauf der Verfahrens vergl. auch Abb. 1.)

Länder wie die Schweiz (SWITCH^v) und Finnland (HAKA) haben Shibboleth evaluiert und schnell mit großem Erfolg flächendeckend eingesetzt. (Heute ist Shibboleth de facto die Standardsoftware zur Authentifizierung und Autorisierung im Bereich Forschung und Wissenschaft.)

Nach dem Vorbild der Schweizer Föderation, die von SWITCH, dem Schweizer Forschungsnetz betrieben wird, übernahm nach nur wenigen Gesprächen der Verein zur Förderung eines Deutschen Forschungsnetzes (DFN-Verein^vi) Ende 2005 diese zukunftsweisende Aufgabe, die für den Betrieb von Shibboleth im internationalen Bereich notwendig ist.

Im Rahmen von Shibboleth stellt die Föderation für die beteiligten Einrichtungen und Dienstanbieter die Vertrauensinstanz dar, die sicherstellen muss, dass die beteiligten Systeme alle nach einheitlichen und überprüfbaren Regeln zusammenarbeiten. Um diese zentrale Aufgabe erfüllen zu können müssen nicht nur organisatorische und technische Regeln aufgestellt und technische Dienste betrieben werden, es muss auch ein rechtlich verbindlicher Vertragsrahmen zur Verfügung stehen, der die Teilnehmer auf die vereinbarten Regeln verpflichtet. Gemeinsam mit dem DFN-Verein Berlin, wurde die Föderation unter dem Namen DFN-AAI^vii technisch, organisatorisch und rechtlich aufgebaut. Einige Details dieser recht zeitaufwändigen Arbeit sollen hier kurz dargestellt werden:

• Das technische Umfeld für den regulären Betrieb, die Testumgebungen, die Verwaltung der Metadaten der Teilnehmer, Informationen für die Beitrittsverfahren u.a.m. wurden von den DFN-Kolleginnen und Kollegen in der Außenstelle Stuttgart implementiert. Es soll hier auch erwähnt werden, dass die komplexen Aufgaben im Zusammenhang mit der Verwaltung und Erteilung von Zertifikaten für die gesicherten Übertragungswege der Shibboleth-Komponenten von den DFN-Kollegen in Hamburg gelöst wurden. Durch die langen Erfahrungen bei Ausgabe und Verwaltung von Zertifikaten im DFN-CERT^viii-Bereich lag hier großes Knowhow vor.

• Die organisatorischen und rechtlichen Fragen wurden vor allem in der DFN-Zentrale in Berlin bearbeitet. Bei den Vertragswerken standen die bereits eingeführten "legal frameworks" der Schweizer Föderation SWITCH-AAI zur Verfügung und konnten in relativ kurzer Zeit auf deutsches Vertragsrecht adaptiert werden. Da mit Shibboleth ein international eingesetztes Verfahren zur Anwendung kommt, erfolgt auch eine regelmäßige Vertretung der DFN-AAI in europäischen Gremien.

Nach einer Pilotphase konnte die Föderation im November 2007 den Regelbetrieb aufnehmen. Schon nach kurzer Zeit waren die ersten Hochschulen und auch die ersten internationalen Anbieter Mitglied in der Föderation.

Der Weg zur deutschlandweiten Föderation setzte Öffentlichkeitsarbeit voraus: In über 100 Vorträgen auf Kongressen, speziellen Veranstaltungen in Hochschulen, verschiedenen Veröffentlichungen und regelmäßigen Workshops wurde das Thema bundesweit verbreitet. Einrichtungen und Verlage wurden zur Teilnahme an Shibboleth motiviert. Workshops zu diesem Verfahren werden auch heute noch - unter dem Dach der DFN-AAI-Föderation - weitergeführt.

Das Portal ReDI

Ende 2005 gingen in Freiburg die ersten lokalen Anwendungen (z.B. das Serverüberwachungssystem Nagios, Backupserver, Standortkatalog etc.) mit Shibboleth in den Realbetrieb über. Als erste einrichtungsübergreifende Anwendung wurde das Portalsystem ReDI (Regionale Datenbank Information^ix) auf Shibboleth umgestellt.

Dieses Portal ist ein regionaler Dienst des Landes Baden-Württemberg für alle dem Ministerium für Wissenschaft, Forschung und Kunst nachgeordneten Institutionen. Darüber hinaus werden auch Institutionen außerhalb des Landes mit Dienstleistungen versorgt. ReDI wurde im Jahr 1999 in Betrieb genommen und bietet heute Zugang zu über 700 bibliographischen und Faktendatenbanken. Etwa die Hälfte davon sind Angebote externer Dienstanbieter und Verlage. Die andere Hälfte sind Windows-basierte Dienstangebote, die auf eigenen Servern betrieben werden. Über 60 Einrichtungen nutzen die Angebote von ReDI, jeweils lizenziert in einem eigenen, einrichtungsspezifischen Portfolio. Von Beginn an war in ReDI ein Authentifizierungsverfahren implementiert, das auf den lokalen Benutzerdatenbanken der Institutionen basierte. Allerdings war für jede Institution ein spezielles Verfahren eingerichtet, das bei Änderungen laufend gepflegt werden musste. Die Pflege dieser proprietären Authentifizierungsprotokolle kostete viel Zeit. Bei manchen Anbietern wurden zudem (um die Problematik der Ortsbindung der IP-Kontrolle aufzuheben) spezielle Login-Prozeduren implementiert, die mit verdeckten Passworten, Tickets und spezieller Sitzungskontrollen die Authentifizierung realisierten. Auch diese Verfahren waren änderungsintensiv und daher aufwändig in der Pflege. Es lag also nahe ein System zu suchen das zum einen die Wünsche einer Institution nach einer hauseigenen Authentifizierung - gleich welcher Art - unterstützt und zum andern den Nutzern eine sichere Authentifizierung und ortsunabhängige Verfügbarkeit sichert. Zum dritten mussten auch die Bedürfnisse der Dienstanbieter erfüllt werden, die natürlich die Nutzung ihrer Angebote auf den berechtigten Nutzerkreis eingeschränkt sehen möchten.

Für die Migration vom proprietären Authentifizierungs- und Autorisierungsverfahren zu Shibboleth waren zwei unterschiedliche Ansätze möglich:

1. Shibboleth als weiteres Authentifizierungsverfahren neben den bestehenden einführen oder

2. die bisherigen proprietären Verfahren vollständig ersetzten

Die Entscheidung fiel zugunsten des zweiten Ansatzes.

Hierfür war es zunächst notwendig, dass alle ReDI-Teilnehmer einen Shibboleth Identity-Provider (IdP) betreiben. Da zu diesem Zeitpunkt, außer der UB Heidelberg und der UB Freiburg, keine weiteren ReDI-Teilnehmer eigene Shibboleth Identity-Provider in Betrieb genommen hatten, wurden sie alle in Freiburg installiert. Diese IdP nutzten die bisherigen proprietären Verfahren gegenüber den lokalen Benutzerdatenbanken. So war es bereits im April 2006 möglich erste Erfahrungen mit Shibboleth in einem landesweiten und viel genutzten Dienst bei einem großen Anwenderkreis zu sammeln.

Im Zuge der Umstellung von ReDI auf Shibboleth wurde natürlich nicht nur die lokale Seite, also die Seite der Einrichtungen, behandelt sondern vor allem auch Kontakt mit den Verlagen aufgenommen. Dies erwies sich als eine sehr interessante Aufgabenstellung, da die Teilnahmebereitschaft der Verlage, insbesondere der international auftretenden, sehr groß war. Bei persönlichen Besuchen wie auch in Telefon- und Videokonferenzen wurden die spezifischen Fragen der Anbieter besprochen und oft in kurzer Zeit gelöst. Die große Bereitschaft Shibboleth zu unterstützen wird auch dadurch deutlich, dass einzelne Anbieter das ReDI-Portal schon zu einem Zeitpunkt via Shibboleth freischalteten, zu dem die Föderation DFN-AAI zwar im Aufbau, aber noch nicht arbeitsfähig war.

Der lokale Dienst myLogin

Die positiven Erfahrungen mit Shibboleth im Zusammenhang mit dem Dienst ReDI und anderen kleineren Dienstangeboten weckten an der Universität Freiburg den Wunsch, Shibboleth für viele Anwendungen für Studierenden und Mitarbeiterinnen einzusetzen. Aus dieser Idee heraus entstand der Dienst myLogin^x: Ziel war es, den Nutzerinnen und den Nutzern verfügbare Dienste der Universität mit einer einmaligen Authentifizierung zur Verfügung zu stellen. Dieses zentrale Login sollte vor allem auch im Corporate Design der Universität Freiburg erscheinen, um einen hohen Wiedererkennungseffekt zu erzielen.

Die Schwierigkeit bei großen Einrichtungen, wie einer Universität, ist, dass einige Nutzer mehr als eine Identität haben. In Freiburg zum Beispiel gibt es sogar drei Möglichkeiten (vergl. auch Abb. 2, Der lokale Dienst myLogin). Für die Studierenden ist die Auswahl in der Regel einfach, da sie nur eine Benutzerkennung im Rechenzentrum der Universität haben. Für Mitarbeiter des Klinikums sieht das jedoch anders aus, da sie auf jeden Fall eine Benutzerkennung im Klinikum haben, aber auch eine Kennung im Rechenzentrum haben können. Auch Nichtangehörige der Universität, z.B. Stadtnutzer der Bibliothek, können den Dienst myLogin nutzen. Bei diesen musste jedoch darauf geachtet werden, dass sie nur innerhalb der Räumlichkeiten der Bibliothek die Nutzungsrechte für lizenzierte Inhalte haben (sog. WalkIn-Patrons).

Zum Aufbau des Dienstes myLogin mussten eine Reihe von Absprachen zwischen Universitätsleitung, Klinikleitung, Rechenzentrum, Verwaltung und Bibliothek getroffen werden. Auch der Personalrat war an der Einführung des Verfahrens zu beteiligen. Dieser Prozess war im Oktober 2007 soweit abgeschlossen, dass eine erste Version in Betrieb ging. Wegen der steigenden zentralen Bedeutung des Dienstes wurde das System bis März 2008 auf ein hochverfügbares Servercluster umgestellt.

Nationallizenzen und Personalisierung mit vuFind

Die erfolgreiche Einführung von Shibboleth auf internationaler Ebene macht manche Anwendungen erst möglich. So wird im Rahmen der Nationallizenzen^xi eine Suchmaschine entwickelt, die ohne Shibboleth in dieser Form nicht denkbar wäre.

Zum Hintergrund: Innerhalb der überregionalen wissenschaftlichen Literaturversorgung ï¬�nanziert die Deutsche Forschungsgemeinschaft (DFG) im Projekt Nationallizenzen seit 2004 den Erwerb digitaler Publikationen. Dadurch erhält jeder Nutzer mit ständigem Wohnsitz in Deutschland kostenfreien Zugang zu wissenschaftlicher Literatur und Quellenwerken - überwiegend Beiträge aus Zeitschriften und Monographien. Auf Grund der großen Anzahl von Einzelnachweisen in der Größenordnung von über 50 Millionen Titeln mit etlichen 100 Millionen digitalen Textseiten arbeitet das Entwickler-Team bei der Verbundzentrale des Göttinger Bibliotheksverbundes (VZG) derzeit an einem eigenen Recherchesystem mit dem Namen "Suchkiste". Das Suchmaschinenprojekt^xii hat im August 2008 begonnen und wird im Juli 2011 abgeschlossen sein. Eine erste Version des Prototypen ist bereits öffentlich zugänglich^xiii. Ende diesen Jahres wird eine produktive Version mit einer von der HTW Chur (Schweiz) völlig neu konzipierten Oberfläche online gehen. Die Suchkiste baut mit der Oberfläche auf vuFind^xiv auf. vuFind basiert im Backend auf Solr und Lucene^xv.

Die Suchkiste muss Lizenzrechte von über 100 verschiedenen Produkten berücksichtigen. Ein Produkt kann jedoch unterschiedliche Lizenzbedingungen besitzen. So ist es möglich, dass ein Produkt für Privatnutzer nicht zu lizenzieren ist, wohl aber für Angehörige der Einrichtung A, für Angehörige der Einrichtung B jedoch keine aktuellen Ausgaben, sondern nur der Archivbereich (Moving Wall).

Dem System unbekannte Nutzer können generell nur über frei zugängliche Bereiche des Suchmaschinenindex recherchieren. Ist eine Recherche über einen möglichst großen Bereich des Index gewünscht, wird eine Authentifizierung gegenüber der eigenen wissenschaftlichen Heimatbibliothek notwendig. Personen, die nicht durch eine wissenschaftliche Bibliothek Zugang zu Nationallizenzen haben, können sich kostenfrei bei einer virtuellen Heimatorganisation (VHO) registrieren lassen^xvi. Ist eine Authentifizierung erfolgt, werden Lizenzinformationen zu dieser Bibliothek aus einem Lizenzverwaltungssystem geladen und diesem Nutzer als Attribute zugeordnet. Somit besitzt jeder Nutzer eine individuelle Auswahl an Attributen, die sowohl den Zugang zu bestimmten Bereichen des Suchmaschinenindex als auch das Aufrufen der wissenschaftlichen Dokumente erlauben.

Dadurch unterscheiden sich die Suchergebnisse für Nutzer, je nachdem ob er als Unbekannter oder Nutzer der VHO oder als Angehöriger einer bestimmten Einrichtung die Suchkiste verwendet. Individuelle Nutzerrechte werden so bei jeder einzelnen Recherche berücksichtigt, beeinflussen die Sortierung und steuern den Zugang zu geschützten Objekten (z. B. Artikel einer Zeitschrift). Nutzer mit unterschiedlichen Rechten erhalten bei derselben Suchanfrage immer unterschiedlich sortierte Treffer - Ergebnislisten, bei denen die ersten Treffer Direktzugang zu einem Objekt ermöglichen. Könnte ein Nutzer theoretisch, z.B. durch akzeptieren von Lizenzbedingungen andere Objekte auch nutzen, werden sie nach Relevanz ebenfalls in die Trefferliste einsortiert. Dies sind Dinge, die bisher mit einer herkömmlichen Zugriffskontrolle nicht oder nur schwer realisiert werden konnten.

Für die Zugriffskontrolle wird die schon vorhandene Personalisierung von vuFind erweitert: Das Entwickler-Team der VZG entwickelt eine Schnittstelle, welche die von Shibboleth zur Verfügung gestellten Informationen über den Nutzer auswertet. Diese Schnittstelle soll im nächsten Release von vuFind einfließen. Diese Lösung bietet einige Vorteile:

• Es ist keine Datenbank notwendig, in der die Informationen gespeichert werden, zu welcher Gruppe oder Einrichtung der Nutzer gehört. Eine Pflege der Benutzerdaten übernimmt die Einrichtung selbst und die Suchkiste verwertet die Nutzerinformation für die Suchanfrage.

• Durch die Verwendung von persistenten Kennungen (Pseudonyme) kann der Nutzer zudem sicher sein, dass niemand seine über die Personalisierung gespeicherten Suchabfragen zurückverfolgen kann. Er bleibt pseudonym.

• Der Nutzer kommt in den Genuss von Single SignOn. Er kann z. B. in der Suchkiste nach einem Artikel suchen und den Artikel beim Anbieter einsehen ohne sich dort noch einmal anmelden zu müssen.

Aktueller Stand und künftige Entwicklungen

Heute, Stand August 2009, sind etwa 30 Einrichtungen und 35 Dienstanbieter Mitglieder der Föderation DFN-AAI. Etwa 90 weitere arbeiten in der Testföderation an eigenen Implementierungen um diese den internationalen Standards anzupassen. Aus Sicht der Bibliotheken kann heute festgestellt werden, dass die "kritische Masse" an Dienstanbietern überschritten ist. Aber auch andere Dienstleister authentifizieren heute schon ihre Angebote mit Shibboleth: E-Learning, Software- und Hardwareverteilung und Grid-Projekte sind ebenfalls Mitglieder.

Die Zahl der teilnehmenden Einrichtungen, also Hochschulen und Forschungseinrichtungen, ist im Vergleich mit den über 300 Mitgliedern des DFN-Vereins mit rund 30 noch relativ gering. Der Grund hierfür liegt nicht im mangelnden Interesse, sondern vielmehr in der Voraussetzung für den Einsatz von Shibboleth, dem lokalen Identitäts-Managementsystemen (IdM). Die Standards, die hier zur Teilnahme an der DFN-AAI erfüllt werden müssen, richten sich nach den internationalen Vorgaben und können daher nicht unterschritten werden.

Heute liegen bereits Anfragen aus dem Bereich der öffentlichen Bibliotheken vor. Im Rahmen des Dienstes "Onleihe^xvii" bieten auch Verlage ihre elektronischen Dienste an. Die Deutsche Wissenschaftsföderation DFN-AAI kann für diesen Nutzerkreis die Dienste nicht anbieten. Es gilt also einen deutschlandweit aktiven Dienstanbieter für öffentliche Bibliotheken zu finden und zu motivieren. Erste Gespräche haben stattgefunden.

Schlussbemerkung

Rückblickend auf die Zeit ab Januar 2005 kann gesagt werden, dass die Einführung von Shibboleth - ein international bereits etabliertes Verfahren - und der Aufbau der Deutschen Wissenschaftsföderation DFN-AAI ein wichtiger und richtiger Schritt war. Dies wird vor allem durch die große und oft unkomplizierte Teilnahmebereitschaft kommerzieller Dienstanbieter im Bibliotheksbereich deutlich. Im internationalen Umfeld zeigt sich, dass die Nutzung föderativer Dienste die Zusammenarbeit deutlich erleichtert. Erste Kooperationsverfahren, vor allem mit der Schweizer Föderation, zeigen dies. Das eingangs erwähnte Projekt AAR ist seit Juni 2008 abgeschlossen, keineswegs aber die Arbeit an der weiteren Einführung von Shibboleth. Diese wird heute unter Federführung der DFN-AAI mit großem Engagement weitergeführt.

Literaturangaben und Referenzen

i. http://www.hh-software.com/hh2003/index.cfm/ly/1/0/HAN100/0/50,HAN100/16$.cfm

ii. http://www.oclc.org/de/de/ezproxy/default.htm

iii. Das Projekt Authentifizierung, Autorisierung und Rechtekontrolle AAR wurde vom BMBF unter der Projektkennung 01C5958 im Zeitraum vom 1.1.2005 bis 30.6.2008 gefördert.

iv. http://shibboleth.internet2.edu/

v. http://www.switch.ch/aai/

vi. http://www.dfn.de/

vii. http://www.aai.dfn.de/

viii.. http://www.cert.dfn.de/

ix. http://www.redi-bw.de/

x. http://mylogin.uni-freiburg.de/

xi. https://www.nationallizenzen.de/

xii. http://blog.nationallizenz.de/2008/09/15/das-projekt/

xiii. https://finden.nationallizenz.de/

xiv. http://www.vufind.org/

xv. http://lucene.apache.org/

xvi. https://www.nationallizenzen.de/anmeldung/privatpersonen/s/ind_inform_registration

xvii. http://www.bibliothek-digital.net/

Autoren

Dr. Jochen Lienhard
lienhard@ub.uni-freiburg.de
Systementwicklung

Bernd Oberknapp
bo@ub.uni-freiburg.de
Wissenschaftlicher Leiter ReDI-Dienst

Ato Ruppert
ruppert@ub.uni-freiburg.de
Leiter IT Universitätsbibliothek Freiburg
Universitätsbibliothek Freiburg
Rempartstr. 10-16
79098 Freiburg

Franck Borel
borel@gbv.de
Systementwicklung

Gerald Steilen
steilen@gbv.de
Digitale Bibliothek
Verbundzentrale des GBV (VZG)
Digitale Bibliothek
Platz der Göttinger Sieben 1
37073 Göttingen