Post on 06-Apr-2017
transcript
Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia. Seite 1
Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsiaGerrit GragertMatthias Kaun
09.03.2016
Seite 209.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
CrossAsia – Fachinformationsdienst Asien Ostasien, Zentralasien und Südostasien = SBBSüdasien = UB und SAI der Uni Heidelberg
Informationsressourcen: Aufbau und Bereitstellung (Aktionsfeld 1)
Weiterentwickelung des Blauen Leihverkehrs‒ Stärkere Bedarfsorientierung‒ Optimierung der Direktversorgung‒ PDA Modelle für Print- und E-Medien‒ Digitalisierung on Demand
Steuerung und Anbindung‒ CrossAsia Suche mit Anbindung an Blauen Leihverkehr inkl. PDA-Bestellerweiterung‒ Weiterentwicklung der CrossAsia Lizenzen ‒ Volltextindex-Zugriff für nicht lizenzierte
E-Books: gedruckt vs. elektronisch‒ Digitale Bibliothek für DoD
Seite 309.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
CrossAsia – Fachinformationsdienst AsienContent Management, Forschung und Entwicklung (Aktionsfeld 2, 3, 4)
Elektronisches Publizieren im Open Access‒ Hosting von E-Journals, E-Monographien / Serien
Erweiterung und Optimierung der CrossAsia Suche‒ Aufbau des PDA Index mit Schnittstelle zum Leihverkehr‒ Einbindung von Ontologien, Wörterbüchern, Thesauri ‒ Optimierung des Suchergebnis-Rankings und der Anzeige
Infrastruktur für Meta- und Volltextdaten (ITR)‒ vom Informationsversorger zum Daten- und Textlieferanten über WWW & Schnittstellen‒ Vorbereitung auf Anforderungen im Kontext Digitaler Geistes- und Sozialwissenschaften‒ Rechtemanagement – Versionierung – Entwicklung von Ingest-Verfahren – Schnittstellen
zur Nutzung und Datenübertragung – OCR von nicht-lateinischen Schriften als Anwendungsszenario und Aufgabe für ITR
Seite 409.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
CrossAsia – Fachinformationsdienst AsienVernetzung, Rückkoppelung und Sicherung der Nachhaltigkeit (Aktionsfeld 5, 6)
Engere Vernetzung von Forschung, Interessengruppen & Infrastruktur‒ Wissenschaftlicher Fachbeirat‒ Kooperation (z.B. MPI-WG)‒ Aktive Teilnahme an Fachtagungen & Kongressen‒ Nutzerschulungen bzw. Webinare und How-to Präsentationen‒ Workshop‒ CrossAsia Forum, Newsletter & Umfragen (inkl.
social media)
CrossAsia verwaltet ca. 7.000 NutzerInnen aus ca. 100 verschiedenen Instituten, von denen im Durchschnitt pro Jahr 2.100 die lizenzpflichtigen Inhalte nutzen können
Seite 509.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Authentifizierung / Autorisierung im FID-Umfeld
• Unerwünscht: Mehrfacher Login bei Heimateinrichtung / FID
• Etablierte Lösung: Shibboleth• Web-basiertes Single-Sign-On-Verfahren (SSO)• Idee: einmal anmelden bei der Heimateinrichtung, Zugriff
auf alle berechtigten Ressourcen egal wo
Wo kommst Du her?(WAYF = Lokalisierungsdienst)
Zugriff auf Datenbank
Auswahl
Login
Identitätbestätigt
BerechtigungenWas darf er? Zugriff: ja
Zugriff: nein
Seite 609.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Universität
Informationsanbieter
Authentifizierung / Autorisierung im FID-Umfeld
• Einzig die Heimateinrichtung legt Eigenschaften (Attribute) der NutzerInnen fest
• NutzerInnen können i.d.R. festlegen, welche Attribute freigegeben sind
• Diese werden von der Heimateinrichtung an den Inhaltsanbieter übermittelt
• Bei lizenzierten Ressourcen i.d.R. das entitlement-Attribut mit dem Wert common-lib-terms (campusweite Lizenz)
Seite 709.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Authentifizierung / Autorisierung im FID-Umfeld
• FID-Lizenzen: unabhängig von Heimateinrichtung• Eingeschränkter NutzerInnenkreis• Sehr variabel (Institutsmitglieder, Fachgesellschaften,
Teilmengen)• Heimateinrichtung weiß nichts von der Berechtigung für
FID-Lizenz
Seite 809.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Lösungsansatz in CrossAsia
• Der FID vergibt die Berechtigungen• Der FID muß die Berechtigungsattribute vergeben• Der FID muß seine NutzerInnen kennen• Aber: der FID kann und soll kein eigenständiger IdP sein
• NutzerInnen bekämen zweite digitale Identität in der Föderation (nicht erlaubt / erwünscht)!
• Kein doppelter Login in einer Sitzung möglich!• NutzerInnen könnten nicht Angebote der Heimateinrichtung und
des FIDs gleichzeitig nutzen!
Seite 909.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Lösungsansatz in CrossAsia
• Idee: NutzerInnen registrieren Ihre Heimatidentität beim FID
• Anbieter / xA-Proxy erhält zusätzlich Berechtigungs-Attribute vom FID zu denen der Heimateinrichtung (Attributkummulation)
• xA kann somit Zugriffsberechtigungen auf lizenzierte Ressourcen unabhängig von Heimateinrichtung steuern
• Dazu Betrieb eines sog. Attribute Providers
Seite 1009.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Heimat-organisation
ServiceProvider
FID(AttributeProvider) Registrierung
Speicherung ID
Login
Attributabfrage(zwingend: ID)
zusä
tzlic
he e
ntitl
emen
ts
(übe
r ID
)
Seite 1109.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Lösungsansatz in CrossAsia
• xA betreibt IdP für NutzerInnen ohne Shibboleth-ID von Heimateinrichtung und alleinstehenden Attribute Provider
• Workflow: bestehende Registrierung / Profilverwaltung bei xA erweitert um Option „existierende Shibboleth-ID“
• Bei Aktivierung wird NutzerIn zum Login der Heimateinrichtung gesendet
• Von dort Übermittlung eindeutiger ID• ID wird in xA-Nutzerverzeichnis gespeichert• Ab dann nur noch Login bei Heimateinrichtung möglich +
zusätzliche Attribute vom xA-Attribute Provider
Seite 1209.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Probleme
• Eindeutige, anbieterübergreifende ID notwendig• Theoretisch Tracking möglich Datenschutz!• Daher keine E-Mail-Adresse o.ä. nutzbar• Unser Vorschlag: eduPersonUniqueID
• Globale, eindeutige Kennung• Pseudonym, d.h. auf Person kann nicht direkt Rückschluß
gezogen werden• Kompromiss: NutzerIn gibt Zustimmung zur Freigabe
Seite 1309.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Probleme
• Einfacher Wert (common-lib-terms) im entitlement reicht nicht mehr aus
• FID-Lizenzen können sehr verschieden sein• Ggf. variieren Berechtigte von Anbieter zu Anbieter• Planung: Eigener URN-Namespace für CrossAsia
Seite 1409.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Probleme
• Abfrage Attribute-Provider Bestandteil Shibboleth-Standard• Im „original“ Shibboleth-Serviceprovider implementiert• Viele Content-Anbieter betreiben eigene Lösungen• Unsicher, ob Erweiterung technisch realisierbar• Alternative: Betrieb von shibboleth-fähigen Proxyserver
(EZProxy, HAN) unter Regie vom FID• Zusätzliche Infrastruktur notwendig
Seite 1509.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Das war‘s – bis hierher
Seite 1609.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.
Kontakt
Gerrit GragertStaatsbibliothek zu BerlinAbteilung IDM 2.3gerrit.gragert@sbb.spk-berlin.deTel. (030) 266 432 230
Matthias KaunStaatsbibliothek zu BerlinOstasienabteilungmatthias.kaun@sbb.spk-berlin.deTel. (030) 266 436 000
Seite 1709.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.