Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:aai:about [2019/08/06 16:51]
Wolfgang Pempe [Aufgaben der Föderation]
de:aai:about [2020/06/18 15:58] (aktuell)
Wolfgang Pempe [Was ist die (DFN-)AAI?]
Zeile 3: Zeile 3:
 {{INLINETOC 2}} {{INLINETOC 2}}
 ===== Was ist die (DFN-)AAI? ===== ===== Was ist die (DFN-)AAI? =====
-Technisch gesehen geht es bei der DFN-AAI um eine bestimmte Spielart des webbasierten Single Sign-On (Web-SSO). Dieses Verfahren erlaubt es Anwendern, sich mit den Benutzer-Credentials,​ mit denen sie bei ihrer Heimateinrichtung registriert sind (i.d.R. Nutzername und Passwort), bei internen und externen Diensten anzumelden (Authentifizierung) und – entsprechende Berechtigungen vorausgesetzt (Autorisierung) – diese zu nutzen. Die hierfür erforderliche Infrastruktur,​ AAI (= **A**uthentication and **A**uthorization **I**nfrastructure),​ wird traditionell im Rahmen nationaler [[https://​refeds.org/​federations|Föderationen]] realisiert und in der Regel von den jeweiligen Forschungsnetzen betrieben. Im Fall der Bundesrepublik Deutschland ist dies der [[https://​www.dfn.de|DFN-Verein]]. Daneben existieren aber auch einige kleinere Föderationen,​ die sich zur Nutzung bestimmter, zentraler Dienste zusammengefunden haben, z.B. E-Learning-Plattformen.+Technisch gesehen geht es bei der DFN-AAI um eine bestimmte Spielart des webbasierten Single Sign-On (Web-SSO). Dieses Verfahren erlaubt es Anwendern, sich mit den Benutzer-Credentials,​ mit denen sie bei ihrer Heimateinrichtung registriert sind (i.d.R. Nutzername und Passwort), bei internen und externen Diensten anzumelden (Authentifizierung) und – entsprechende Berechtigungen vorausgesetzt (Autorisierung) – diese zu nutzen. Die hierfür erforderliche Infrastruktur,​ AAI (= **A**uthentication and **A**uthorization **I**nfrastructure),​ wird traditionell im Rahmen nationaler [[https://​refeds.org/​federations|Föderationen]] realisiert und in der Regel von den jeweiligen Forschungsnetzen betrieben. Im Fall der Bundesrepublik Deutschland ist dies der [[https://​www.dfn.de|DFN-Verein]]. ​
  
 Die technische Grundlage für solche Infrastrukturen bildet der Austausch von Metadaten, in denen die Identity Provider (IdP) der an der AAI teilnehmenden Heimatorganisationen (Bildungs- und Forschungseinrichtungen) und die Service Provider (SP) der teilnehmenden Dienstanbieter (Content-Provider,​ E-Learning-Plattformen,​ wissenschaftliche Dienste, etc.) [[de:​join|registriert sind]]. Weiterhin existieren mit sogenannten Attribute Authorities externe Attributquellen,​ anhand derer ein SP zusätzliche,​ i.d.R. projektspezifische Nutzerdaten abrufen kann, die nicht von der Heimateinrichtung gepflegt werden. Bezeichnet werden solche Instanzen (IdP, SP, Attribute Authorities) auch als Entities. Bei den in den Metadaten hinterlegten Informationen handelt es sich sowohl um administrative (Organisation,​ Kontaktdaten) als auch um technische Daten (Service-Endpunkte,​ Zertifikate,​ etc.), die zur Kommunikation der Entities untereinander erforderlich sind. Als Standard hat sich hier flächendeckend SAML (Security Assertion Markup Language) durchgesetzt. Die Aufgabe der jeweiligen Föderation ist es, diese Datensätze zu pflegen, aktuell zu halten und sicherzustellen,​ dass innerhalb der Föderation ein sicherer und vertrauenswürdiger Austausch von Informationen stattfindet. Das technische Rückgrat einer solchen Föderation bilden somit die vom Föderationsbetreiber [[de:​metadata|signierten Metadaten]]. Die technische Grundlage für solche Infrastrukturen bildet der Austausch von Metadaten, in denen die Identity Provider (IdP) der an der AAI teilnehmenden Heimatorganisationen (Bildungs- und Forschungseinrichtungen) und die Service Provider (SP) der teilnehmenden Dienstanbieter (Content-Provider,​ E-Learning-Plattformen,​ wissenschaftliche Dienste, etc.) [[de:​join|registriert sind]]. Weiterhin existieren mit sogenannten Attribute Authorities externe Attributquellen,​ anhand derer ein SP zusätzliche,​ i.d.R. projektspezifische Nutzerdaten abrufen kann, die nicht von der Heimateinrichtung gepflegt werden. Bezeichnet werden solche Instanzen (IdP, SP, Attribute Authorities) auch als Entities. Bei den in den Metadaten hinterlegten Informationen handelt es sich sowohl um administrative (Organisation,​ Kontaktdaten) als auch um technische Daten (Service-Endpunkte,​ Zertifikate,​ etc.), die zur Kommunikation der Entities untereinander erforderlich sind. Als Standard hat sich hier flächendeckend SAML (Security Assertion Markup Language) durchgesetzt. Die Aufgabe der jeweiligen Föderation ist es, diese Datensätze zu pflegen, aktuell zu halten und sicherzustellen,​ dass innerhalb der Föderation ein sicherer und vertrauenswürdiger Austausch von Informationen stattfindet. Das technische Rückgrat einer solchen Föderation bilden somit die vom Föderationsbetreiber [[de:​metadata|signierten Metadaten]].
Zeile 9: Zeile 9:
 {{:​de:​aai:​federation_metadata.png?​800|}} {{:​de:​aai:​federation_metadata.png?​800|}}
  
-Weiterführende und vertiefende Informationen finden sich in den [[de:shibidp3documents|Materialien aus Workshops und Schulungen]] (z.B. [[https://​download.aai.dfn.de/​ws/​2019_cc/​grundlagen.pdf|dieser Foliensatz]]) sowie auf der Seite [[de:​aai:​infos|Weitere Informationsquellen]].+Weiterführende und vertiefende Informationen finden sich auf der Seite [[de:aai:infos|Weitere Informationsquellen]], wie z.B. [[https://​download.aai.dfn.de/​ws/​2019_cc/​grundlagen.pdf|dieser Foliensatz]].
 ===== Aufgaben der Föderation ===== ===== Aufgaben der Föderation =====
 Eine Föderation agiert als //Trusted Third Party//, die die Einhaltung der technischen und rechtlichen Rahmenbedingungen sicherstellt und auf diese Weise ein Vertrauensverhältnis etabliert. In dieser Rolle übernimmt der Föderationsbetreiber (DFN) verschiedene Aufgaben: Eine Föderation agiert als //Trusted Third Party//, die die Einhaltung der technischen und rechtlichen Rahmenbedingungen sicherstellt und auf diese Weise ein Vertrauensverhältnis etabliert. In dieser Rolle übernimmt der Föderationsbetreiber (DFN) verschiedene Aufgaben:
Zeile 18: Zeile 18:
   * Support bei technischen Problemen und Fragen mit AAI-Bezug, siehe unter [[de:​aai:​contact|Kontakt]]   * Support bei technischen Problemen und Fragen mit AAI-Bezug, siehe unter [[de:​aai:​contact|Kontakt]]
   * Schulungen für teilnehmende Einrichtungen und Dienstanbieter (Schulungsanfragen richten Sie bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]])   * Schulungen für teilnehmende Einrichtungen und Dienstanbieter (Schulungsanfragen richten Sie bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]])
-Siehe hierzu auch die Darstellung des [[de:​aai:​portfolio|Dienstportfolios der DFN-AAI]].+**Siehe hierzu auch die Darstellung des [[de:​aai:​portfolio|Dienstportfolios der DFN-AAI]].**
 ===== AAI und Identity Management (IdM) ===== ===== AAI und Identity Management (IdM) =====
 === IdM als Grundlage für die Teilnahme an der (DFN-)AAI === === IdM als Grundlage für die Teilnahme an der (DFN-)AAI ===
  • Zuletzt geändert: vor 12 Monaten