Authentifizierung und Autorisierung mit Shibboleth in der Föderation DFN-AAI


Grenzen der IP-Adresskontrolle zur Authentifizierung
Von der lokalen Anwendung zur deutschlandweiten Infrastruktur
Das Portal ReDI
Der lokale Dienst myLogin
Nationallizenzen und Personalisierung mit vuFind
Aktueller Stand und künftige Entwicklungen
Schlussbemerkung

von Franck Borel, Dr. Jochen Lienhard, Bernd Oberknapp, Ato Ruppert, Gerald Steilen

Grenzen der IP-Adresskontrolle zur Authentifizierung

In vielen Fällen wird heute noch die IP-Adresse eines PC zur Feststellung herangezogen, ob ein Dienst für Nutzer einer Einrichtung freigegeben ist oder nicht. Dieses Verfahren mag zunächst einfach erscheinen, bei näherem Hinsehen zeigen sich aber deutliche Schwächen: Die IP-Adresse definiert lediglich den Standort eines PC. Über den Nutzer und dessen Rechte sagt sie nichts aus. Es findet keine wirkliche Authentifizierung und Autorisierung statt. Dies ist mit Blick auf die Nutzungsverträge problematisch, wird aber von den Dienstanbietern mangels Alternativen hingenommen. Bei kleineren Hausnetzen ist der IP-Adressbereich einer Einrichtung eine überschaubare Angelegenheit. Bei großen Einrichtungen, wie z.B. Universitäten mit zusätzlich angegliederten Zentren wie Kliniken und Forschungseinrichtungen, ist eine solche Adressliste aber lang und unübersichtlich. Diese Liste aktuell zu halten ist aufwändig. Sie nach einer Korrektur an hunderte Dienstanbieter weiterzuleiten wird dann leicht zum Alptraum. Ein weiteres großes Problem ist die Ortsbindung, die durch die Nutzung der IP-Adresse zur Authentifizierung vorliegt. Es ist heute selbstverständlich, dass auch außerhalb der Einrichtung die eigene Arbeit fortgeführt wird, sei es daheim oder auf (Dienst-)Reisen. Preiswerte DSL-Anschlüsse ermöglichen den Zugang zu den gewohnten Ressourcen auch außerhalb der Universität. Um diese Ortsbindung der IP-Adresse aufzuheben müssen zusätzliche Verfahren wie VPN oder Proxies eingesetzt werden. Hierzu sind Konfigurationsänderungen am eigenen PC erforderlich, die den Nutzer überfordern. Letztlich kann diese Technik auch zunichte gemacht werden, wenn der eigene Netzanschluss hinter einer Firewall liegt oder aus netztechnischen Gründen den Eintrag eines speziellen Proxies erfordert. Rewriting Proxies (z.B. HAN-Serveri, EZProxyii) sind je nach Anzahl einzutragender Dienste und deren Zieladressen für die Betreiber aufwändig zu pflegen und versagen letztlich bei Links von Dienstanbietern auf andere Dienstanbieter (sog. Reference Linking). Vor diesem Hintergrund wurde im Januar 2005 das Projekt "Authentifizierung, Autorisierung und Rechteverwaltungiii (AAR)" an der UB Freiburg begonnen.

Von der lokalen Anwendung zur deutschlandweiten Infrastruktur

Ziel des AAR-Teams war der Aufbau einer deutschlandweiten Infrastruktur zur einrichtungsübergreifenden Authentifizierung und Autorisierung von Web-Angeboten. Die Grundlage dieser Arbeit war die Open Source Software Shibbolethiv. Ausschlaggebend für diese Festlegung war zum einen, dass Shibboleth auf international anerkannten Standards aufbaut und zum anderen, dass bereits zu Projektbeginn weltweit eine große Anzahl von Hochschulen, Forschungseinrichtungen und auch Dienstanbietern gab, - hier insbesondere Verlage mit elektronischen Angeboten im Internet - die diese Software unterstützten. Shibboleth basiert auf einem föderalen Ansatz: Die Einrichtung authentifiziert die (eigenen) Nutzer und der Dienstanbieter prüft die Berechtigung und gibt entsprechend den Dienst frei. Hierzu werden ihm geeignete Informationen, so genannte Attribute zur Verfügung gestellt, die ja nach Anforderung an den Dienst anonym oder pseudonym sind. (Zum Ablauf der Verfahrens vergl. auch Abb. 1.)

Länder wie die Schweiz (SWITCHv) und Finnland (HAKA) haben Shibboleth evaluiert und schnell mit großem Erfolg flächendeckend eingesetzt. (Heute ist Shibboleth de facto die Standardsoftware zur Authentifizierung und Autorisierung im Bereich Forschung und Wissenschaft.)

Nach dem Vorbild der Schweizer Föderation, die von SWITCH, dem Schweizer Forschungsnetz betrieben wird, übernahm nach nur wenigen Gesprächen der Verein zur Förderung eines Deutschen Forschungsnetzes (DFN-Vereinvi) Ende 2005 diese zukunftsweisende Aufgabe, die für den Betrieb von Shibboleth im internationalen Bereich notwendig ist.

Im Rahmen von Shibboleth stellt die Föderation für die beteiligten Einrichtungen und Dienstanbieter die Vertrauensinstanz dar, die sicherstellen muss, dass die beteiligten Systeme alle nach einheitlichen und überprüfbaren Regeln zusammenarbeiten. Um diese zentrale Aufgabe erfüllen zu können müssen nicht nur organisatorische und technische Regeln aufgestellt und technische Dienste betrieben werden, es muss auch ein rechtlich verbindlicher Vertragsrahmen zur Verfügung stehen, der die Teilnehmer auf die vereinbarten Regeln verpflichtet. Gemeinsam mit dem DFN-Verein Berlin, wurde die Föderation unter dem Namen DFN-AAIvii technisch, organisatorisch und rechtlich aufgebaut. Einige Details dieser recht zeitaufwändigen Arbeit sollen hier kurz dargestellt werden:

Nach einer Pilotphase konnte die Föderation im November 2007 den Regelbetrieb aufnehmen. Schon nach kurzer Zeit waren die ersten Hochschulen und auch die ersten internationalen Anbieter Mitglied in der Föderation.

Der Weg zur deutschlandweiten Föderation setzte Öffentlichkeitsarbeit voraus: In über 100 Vorträgen auf Kongressen, speziellen Veranstaltungen in Hochschulen, verschiedenen Veröffentlichungen und regelmäßigen Workshops wurde das Thema bundesweit verbreitet. Einrichtungen und Verlage wurden zur Teilnahme an Shibboleth motiviert. Workshops zu diesem Verfahren werden auch heute noch - unter dem Dach der DFN-AAI-Föderation - weitergeführt.

Das Portal ReDI

Ende 2005 gingen in Freiburg die ersten lokalen Anwendungen (z.B. das Serverüberwachungssystem Nagios, Backupserver, Standortkatalog etc.) mit Shibboleth in den Realbetrieb über. Als erste einrichtungsübergreifende Anwendung wurde das Portalsystem ReDI (Regionale Datenbank Informationix) auf Shibboleth umgestellt.

Dieses Portal ist ein regionaler Dienst des Landes Baden-Württemberg für alle dem Ministerium für Wissenschaft, Forschung und Kunst nachgeordneten Institutionen. Darüber hinaus werden auch Institutionen außerhalb des Landes mit Dienstleistungen versorgt. ReDI wurde im Jahr 1999 in Betrieb genommen und bietet heute Zugang zu über 700 bibliographischen und Faktendatenbanken. Etwa die Hälfte davon sind Angebote externer Dienstanbieter und Verlage. Die andere Hälfte sind Windows-basierte Dienstangebote, die auf eigenen Servern betrieben werden. Über 60 Einrichtungen nutzen die Angebote von ReDI, jeweils lizenziert in einem eigenen, einrichtungsspezifischen Portfolio. Von Beginn an war in ReDI ein Authentifizierungsverfahren implementiert, das auf den lokalen Benutzerdatenbanken der Institutionen basierte. Allerdings war für jede Institution ein spezielles Verfahren eingerichtet, das bei Änderungen laufend gepflegt werden musste. Die Pflege dieser proprietären Authentifizierungsprotokolle kostete viel Zeit. Bei manchen Anbietern wurden zudem (um die Problematik der Ortsbindung der IP-Kontrolle aufzuheben) spezielle Login-Prozeduren implementiert, die mit verdeckten Passworten, Tickets und spezieller Sitzungskontrollen die Authentifizierung realisierten. Auch diese Verfahren waren änderungsintensiv und daher aufwändig in der Pflege. Es lag also nahe ein System zu suchen das zum einen die Wünsche einer Institution nach einer hauseigenen Authentifizierung - gleich welcher Art - unterstützt und zum andern den Nutzern eine sichere Authentifizierung und ortsunabhängige Verfügbarkeit sichert. Zum dritten mussten auch die Bedürfnisse der Dienstanbieter erfüllt werden, die natürlich die Nutzung ihrer Angebote auf den berechtigten Nutzerkreis eingeschränkt sehen möchten.

Für die Migration vom proprietären Authentifizierungs- und Autorisierungsverfahren zu Shibboleth waren zwei unterschiedliche Ansätze möglich:

  1. Shibboleth als weiteres Authentifizierungsverfahren neben den bestehenden einführen oder

  2. die bisherigen proprietären Verfahren vollständig ersetzten

Die Entscheidung fiel zugunsten des zweiten Ansatzes.

Hierfür war es zunächst notwendig, dass alle ReDI-Teilnehmer einen Shibboleth Identity-Provider (IdP) betreiben. Da zu diesem Zeitpunkt, außer der UB Heidelberg und der UB Freiburg, keine weiteren ReDI-Teilnehmer eigene Shibboleth Identity-Provider in Betrieb genommen hatten, wurden sie alle in Freiburg installiert. Diese IdP nutzten die bisherigen proprietären Verfahren gegenüber den lokalen Benutzerdatenbanken. So war es bereits im April 2006 möglich erste Erfahrungen mit Shibboleth in einem landesweiten und viel genutzten Dienst bei einem großen Anwenderkreis zu sammeln.

Im Zuge der Umstellung von ReDI auf Shibboleth wurde natürlich nicht nur die lokale Seite, also die Seite der Einrichtungen, behandelt sondern vor allem auch Kontakt mit den Verlagen aufgenommen. Dies erwies sich als eine sehr interessante Aufgabenstellung, da die Teilnahmebereitschaft der Verlage, insbesondere der international auftretenden, sehr groß war. Bei persönlichen Besuchen wie auch in Telefon- und Videokonferenzen wurden die spezifischen Fragen der Anbieter besprochen und oft in kurzer Zeit gelöst. Die große Bereitschaft Shibboleth zu unterstützen wird auch dadurch deutlich, dass einzelne Anbieter das ReDI-Portal schon zu einem Zeitpunkt via Shibboleth freischalteten, zu dem die Föderation DFN-AAI zwar im Aufbau, aber noch nicht arbeitsfähig war.

Der lokale Dienst myLogin

Die positiven Erfahrungen mit Shibboleth im Zusammenhang mit dem Dienst ReDI und anderen kleineren Dienstangeboten weckten an der Universität Freiburg den Wunsch, Shibboleth für viele Anwendungen für Studierenden und Mitarbeiterinnen einzusetzen. Aus dieser Idee heraus entstand der Dienst myLoginx: Ziel war es, den Nutzerinnen und den Nutzern verfügbare Dienste der Universität mit einer einmaligen Authentifizierung zur Verfügung zu stellen. Dieses zentrale Login sollte vor allem auch im Corporate Design der Universität Freiburg erscheinen, um einen hohen Wiedererkennungseffekt zu erzielen.

Die Schwierigkeit bei großen Einrichtungen, wie einer Universität, ist, dass einige Nutzer mehr als eine Identität haben. In Freiburg zum Beispiel gibt es sogar drei Möglichkeiten (vergl. auch Abb. 2, Der lokale Dienst myLogin). Für die Studierenden ist die Auswahl in der Regel einfach, da sie nur eine Benutzerkennung im Rechenzentrum der Universität haben. Für Mitarbeiter des Klinikums sieht das jedoch anders aus, da sie auf jeden Fall eine Benutzerkennung im Klinikum haben, aber auch eine Kennung im Rechenzentrum haben können. Auch Nichtangehörige der Universität, z.B. Stadtnutzer der Bibliothek, können den Dienst myLogin nutzen. Bei diesen musste jedoch darauf geachtet werden, dass sie nur innerhalb der Räumlichkeiten der Bibliothek die Nutzungsrechte für lizenzierte Inhalte haben (sog. WalkIn-Patrons).

Zum Aufbau des Dienstes myLogin mussten eine Reihe von Absprachen zwischen Universitätsleitung, Klinikleitung, Rechenzentrum, Verwaltung und Bibliothek getroffen werden. Auch der Personalrat war an der Einführung des Verfahrens zu beteiligen. Dieser Prozess war im Oktober 2007 soweit abgeschlossen, dass eine erste Version in Betrieb ging. Wegen der steigenden zentralen Bedeutung des Dienstes wurde das System bis März 2008 auf ein hochverfügbares Servercluster umgestellt.

Nationallizenzen und Personalisierung mit vuFind

Die erfolgreiche Einführung von Shibboleth auf internationaler Ebene macht manche Anwendungen erst möglich. So wird im Rahmen der Nationallizenzenxi eine Suchmaschine entwickelt, die ohne Shibboleth in dieser Form nicht denkbar wäre.

Zum Hintergrund: Innerhalb der überregionalen wissenschaftlichen Literaturversorgung finanziert die Deutsche Forschungsgemeinschaft (DFG) im Projekt Nationallizenzen seit 2004 den Erwerb digitaler Publikationen. Dadurch erhält jeder Nutzer mit ständigem Wohnsitz in Deutschland kostenfreien Zugang zu wissenschaftlicher Literatur und Quellenwerken - überwiegend Beiträge aus Zeitschriften und Monographien. Auf Grund der großen Anzahl von Einzelnachweisen in der Größenordnung von über 50 Millionen Titeln mit etlichen 100 Millionen digitalen Textseiten arbeitet das Entwickler-Team bei der Verbundzentrale des Göttinger Bibliotheksverbundes (VZG) derzeit an einem eigenen Recherchesystem mit dem Namen "Suchkiste". Das Suchmaschinenprojektxii hat im August 2008 begonnen und wird im Juli 2011 abgeschlossen sein. Eine erste Version des Prototypen ist bereits öffentlich zugänglichxiii. Ende diesen Jahres wird eine produktive Version mit einer von der HTW Chur (Schweiz) völlig neu konzipierten Oberfläche online gehen. Die Suchkiste baut mit der Oberfläche auf vuFindxiv auf. vuFind basiert im Backend auf Solr und Lucenexv.

Die Suchkiste muss Lizenzrechte von über 100 verschiedenen Produkten berücksichtigen. Ein Produkt kann jedoch unterschiedliche Lizenzbedingungen besitzen. So ist es möglich, dass ein Produkt für Privatnutzer nicht zu lizenzieren ist, wohl aber für Angehörige der Einrichtung A, für Angehörige der Einrichtung B jedoch keine aktuellen Ausgaben, sondern nur der Archivbereich (Moving Wall).

Dem System unbekannte Nutzer können generell nur über frei zugängliche Bereiche des Suchmaschinenindex recherchieren. Ist eine Recherche über einen möglichst großen Bereich des Index gewünscht, wird eine Authentifizierung gegenüber der eigenen wissenschaftlichen Heimatbibliothek notwendig. Personen, die nicht durch eine wissenschaftliche Bibliothek Zugang zu Nationallizenzen haben, können sich kostenfrei bei einer virtuellen Heimatorganisation (VHO) registrieren lassenxvi. Ist eine Authentifizierung erfolgt, werden Lizenzinformationen zu dieser Bibliothek aus einem Lizenzverwaltungssystem geladen und diesem Nutzer als Attribute zugeordnet. Somit besitzt jeder Nutzer eine individuelle Auswahl an Attributen, die sowohl den Zugang zu bestimmten Bereichen des Suchmaschinenindex als auch das Aufrufen der wissenschaftlichen Dokumente erlauben.

Dadurch unterscheiden sich die Suchergebnisse für Nutzer, je nachdem ob er als Unbekannter oder Nutzer der VHO oder als Angehöriger einer bestimmten Einrichtung die Suchkiste verwendet. Individuelle Nutzerrechte werden so bei jeder einzelnen Recherche berücksichtigt, beeinflussen die Sortierung und steuern den Zugang zu geschützten Objekten (z. B. Artikel einer Zeitschrift). Nutzer mit unterschiedlichen Rechten erhalten bei derselben Suchanfrage immer unterschiedlich sortierte Treffer - Ergebnislisten, bei denen die ersten Treffer Direktzugang zu einem Objekt ermöglichen. Könnte ein Nutzer theoretisch, z.B. durch akzeptieren von Lizenzbedingungen andere Objekte auch nutzen, werden sie nach Relevanz ebenfalls in die Trefferliste einsortiert. Dies sind Dinge, die bisher mit einer herkömmlichen Zugriffskontrolle nicht oder nur schwer realisiert werden konnten.

Für die Zugriffskontrolle wird die schon vorhandene Personalisierung von vuFind erweitert: Das Entwickler-Team der VZG entwickelt eine Schnittstelle, welche die von Shibboleth zur Verfügung gestellten Informationen über den Nutzer auswertet. Diese Schnittstelle soll im nächsten Release von vuFind einfließen. Diese Lösung bietet einige Vorteile:

Aktueller Stand und künftige Entwicklungen

Heute, Stand August 2009, sind etwa 30 Einrichtungen und 35 Dienstanbieter Mitglieder der Föderation DFN-AAI. Etwa 90 weitere arbeiten in der Testföderation an eigenen Implementierungen um diese den internationalen Standards anzupassen. Aus Sicht der Bibliotheken kann heute festgestellt werden, dass die "kritische Masse" an Dienstanbietern überschritten ist. Aber auch andere Dienstleister authentifizieren heute schon ihre Angebote mit Shibboleth: E-Learning, Software- und Hardwareverteilung und Grid-Projekte sind ebenfalls Mitglieder.

Die Zahl der teilnehmenden Einrichtungen, also Hochschulen und Forschungseinrichtungen, ist im Vergleich mit den über 300 Mitgliedern des DFN-Vereins mit rund 30 noch relativ gering. Der Grund hierfür liegt nicht im mangelnden Interesse, sondern vielmehr in der Voraussetzung für den Einsatz von Shibboleth, dem lokalen Identitäts-Managementsystemen (IdM). Die Standards, die hier zur Teilnahme an der DFN-AAI erfüllt werden müssen, richten sich nach den internationalen Vorgaben und können daher nicht unterschritten werden.

Heute liegen bereits Anfragen aus dem Bereich der öffentlichen Bibliotheken vor. Im Rahmen des Dienstes "Onleihexvii" bieten auch Verlage ihre elektronischen Dienste an. Die Deutsche Wissenschaftsföderation DFN-AAI kann für diesen Nutzerkreis die Dienste nicht anbieten. Es gilt also einen deutschlandweit aktiven Dienstanbieter für öffentliche Bibliotheken zu finden und zu motivieren. Erste Gespräche haben stattgefunden.

Schlussbemerkung

Rückblickend auf die Zeit ab Januar 2005 kann gesagt werden, dass die Einführung von Shibboleth - ein international bereits etabliertes Verfahren - und der Aufbau der Deutschen Wissenschaftsföderation DFN-AAI ein wichtiger und richtiger Schritt war. Dies wird vor allem durch die große und oft unkomplizierte Teilnahmebereitschaft kommerzieller Dienstanbieter im Bibliotheksbereich deutlich. Im internationalen Umfeld zeigt sich, dass die Nutzung föderativer Dienste die Zusammenarbeit deutlich erleichtert. Erste Kooperationsverfahren, vor allem mit der Schweizer Föderation, zeigen dies. Das eingangs erwähnte Projekt AAR ist seit Juni 2008 abgeschlossen, keineswegs aber die Arbeit an der weiteren Einführung von Shibboleth. Diese wird heute unter Federführung der DFN-AAI mit großem Engagement weitergeführt.


Literaturangaben und Referenzen

i. http://www.hh-software.com/hh2003/index.cfm/ly/1/0/HAN100/0/50,HAN100/16$.cfm

ii. http://www.oclc.org/de/de/ezproxy/default.htm

iii. Das Projekt Authentifizierung, Autorisierung und Rechtekontrolle AAR wurde vom BMBF unter der Projektkennung 01C5958 im Zeitraum vom 1.1.2005 bis 30.6.2008 gefördert.

iv. http://shibboleth.internet2.edu/

v. http://www.switch.ch/aai/

vi. http://www.dfn.de/

vii. http://www.aai.dfn.de/

viii.. http://www.cert.dfn.de/

ix. http://www.redi-bw.de/

x. http://mylogin.uni-freiburg.de/

xi. https://www.nationallizenzen.de/

xii. http://blog.nationallizenz.de/2008/09/15/das-projekt/

xiii. https://finden.nationallizenz.de/

xiv. http://www.vufind.org/

xv. http://lucene.apache.org/

xvi. https://www.nationallizenzen.de/anmeldung/privatpersonen/s/ind_inform_registration

xvii. http://www.bibliothek-digital.net/


Autoren

Dr. Jochen Lienhard
lienhard@ub.uni-freiburg.de
Systementwicklung

Bernd Oberknapp
bo@ub.uni-freiburg.de
Wissenschaftlicher Leiter ReDI-Dienst

Ato Ruppert
ruppert@ub.uni-freiburg.de
Leiter IT Universitätsbibliothek Freiburg
Universitätsbibliothek Freiburg
Rempartstr. 10-16
79098 Freiburg

Franck Borel
borel@gbv.de
Systementwicklung

Gerald Steilen
steilen@gbv.de
Digitale Bibliothek
Verbundzentrale des GBV (VZG)
Digitale Bibliothek
Platz der Göttinger Sieben 1
37073 Göttingen