Föderatives Identitätsmanagement

Architektur und Überblick über bwIDM und beteiligte Dienste

Föderatives Identitätsmanagement zielt darauf ab, Nutzern Zugang zu Diensten auf Basis eines Accounts bei ihrer Heimatorganisation (Identity-Provider) zu ermöglichen. Dabei müssen die Dienste und der Identity-Provider nicht zwangsläufig derselben Organisation angehören. Das Konzept hat insbesondere den Vorteil, dass Nutzer lediglich Zugangsdaten zu einem Account verwalten müssen. Dienste profitieren zudem von einer erhöhten Qualität der Identitätsinformationen und einem höheren Sicherheitsniveau, da Passwörter nicht für mehrere Accounts bei verschiedenen Dienstanbietern verwendet werden. 

Die Security Assertion Markup Language (SAML) stellt einen weit verbreiteten Standard des föderativen Identitätsmanagements dar. Im bwIDM-Projekt soll eine Föderation basierend auf SAML für die Universitäten des Landes Baden-Württemberg etabliert werden. Der FACIUS-Ansatz ermöglicht es, auch nicht web-basierte Dienste mit dem auf web-basierte Dienste fokussierten SAML-Standard zu föderieren.

KIM-IT4INT

Durch das Vorhaben „Karlsruher Integriertes InformationsManagement“ (KIM) mit den beiden Teilprojekten für „Lehrveranstaltungsmanagement, Prüfungsmanagement und Studienassistenz“(LPS) sowie „Identitätsmanagement“ (IDM) wurde in den Jahren 2005‐2009 die Grundlage für ein integriertes Informationsmanagement am KIT gelegt. Die nun im Regelbetrieb angebotenen Projektergebnisse wie etwa die Dienste auf den Portalen studium.kit.edu und intra.kit.edu sowie die zugehörige Provisionierung aller KIT‐Mitarbeiter und Studierenden auf Basis der kit.edu‐Konten bieten nicht nur innovative IT‐Dienste und Erleichterung für die am KIT Tätigen, sondern auch einen wesentlichen Beitrag zur Zusammenführung der Menschen von Campus Nord und Campus Süd. Durch das Projekt KIM‐IT4INT sollen die technische Integration weiterer wichtiger Dienste und Ressourcen für das gesamte KIT sowie zugehörige IT‐Betriebsprozesse im Zusammenwirken mit zentralen und dezentralen Einrichtungen des KIT gefördert werden, so dass das „Zusammenwachsen“ des KIT und die Zusammenarbeit der KIT‐Wissenschaftlicher IT‐seitig unterstützt und erleichtert wird. Ziel ist somit eine Steigerung der Leistungsfähigkeit des Einzelnen und der Institution sowie eine Steigerung der Zufriedenheit der Mitarbeiter und Studierenden durch die Unterstützung eines föderativ organisierten und betriebenen integrierten KIT‐Informationsmanagement.

Kontakt: Martin Nussbaumer

Das bwIDM-Projekt

Die Zielsetzung des bwIDM-Projekts liegt darin, einen nahtlosen Zugriff auf die im Land Baden-Württemberg verteilten Ressourcen und Dienste aus dem lokalen Kontext zu ermöglichen. Konkret sollen Nutzer in die Lage versetzt werden, Dienste anderer Hochschulen mit den gewohnten Zugangsdaten ihrer Hochschule zu nutzen. Schlüsselmerkmale von bwIDM sind insbesondere:

- Herabsetzung der Einstiegshürden bei der Dienstnutzung: Für die zu föderierenden Dienste soll die Beantragung eines dienst-lokalen Accounts wegfallen und Einstiegshürden für die Benutzung externer Dienste maßgeblich herabgesetzt werden.

- Minimal-Invasivität des bwIDM Konzeptes: Um den Anpassungsaufwand seitens der Hochschulen und den von ihnen angebotenen Diensten möglichst gering zu halten, soll das bwIDM Konzept minimal-invasiv gestaltet werden. Da das SAML-Framework Shibboleth bereits landesweit an den Hochschulen zum Einsatz kommt, stellt es eine Schlüsseltechnologie für bwIDM dar. Shibboleth Identity-Provider werden bereits an allen Universitäten Baden-Württembergs eingesetzt um den Zugang zu web-basierten Diensten zu föderieren. 

- Föderieren nicht web-basierter Dienste: Eine der größten Herausforderungen des bwIDM-Projektes liegt in der Anbindung von nicht web-basierten Diensten an die bestehende Shibboleth Infrastruktur. Der Zugriff auf Dienste wie bwGrid oder bwUniCluster erfolgt beispielsweise über einen SSH-Client statt über einen Webbrowser. In diesem Kontext spielt der FACIUS-Ansatz eine tragende Rolle.

Kontakt: Martin Nussbaumer

weitere Informationen

Der FACIUS-Ansatz

Die Security Assertion Markup Language (SAML) wird im akademischen Umfeld bereits flächendeckend zum föderieren web-basierter Dienste eingesetzt. Um nicht web-basierte Dienste in bestehende SAML-Föderationen aufzunehmen wurde im Rahmen des bwIDM-Projektes der FACIUS-Ansatz entwickelt. Insbesondere verfolgt der FACIUS-Ansatz folgende Zielsetzungen:

- Minimierter Aufwand zum föderieren bestehender Service-Deployments: Um einen bestehenden Dienst mit Hilfe von FACIUS zu föderieren ist kein modifizierter Dienstzugangspunkt nötig. Die Autorisierungsentscheidung trifft FACIUS in einem Pluggable-Authentication-Module, dessen Verwendung im Dienstzugangspunkt in vielen Fällen konfiguriert werden kann (Bsp.: OpenSSH).

- Nutzerfreundlichkeit: FACIUS ermöglicht den Nutzern den Dienstzugang mit ihren gewohnten, unmodifizierten Clienten sofern dem entsprechenden Service Provider vertraut wird. Um ebenfalls den Zugang zu nicht vertrauenswürdigen Service Providern zu gestatten, kann optional ein modifizierter Client eingesetzt werden, der die Zugangsdaten des Nutzers nicht zum Service Provider überträgt.

- Unantastbarkeit der SAML Identity-Provider: Zur Anwendung von FACIUS sind keine Änderungen seitens der SAML Identity-Provider nötig. In bereits bestehende Föderationen eingebundene Identity-Provider können somit ihren Nutzern Zugriff auf nicht web-basierte Dienste ermöglichen ohne die Verfügbarkeit anderer Dienstzugänge zu beeinflussen.

- Beachtung rechtlicher Randbedingungen: FACIUS ermöglicht es Dienstbetreibern und Identity-Providern das Einverständnis des Nutzers zu Richtlinien und bezüglich der Weitergabe von Nutzerattributen einzuholen.

 

Weitere Informationen zu FACIUS und dem Föderatives Identitätsmanagement:

FACIUS: An Easy-to-Deploy SAML-based Approach to Federate Non Web-Based Services

J. Köhler, S. Labitzke, M. Simon, M. Nussbaumer, H. Hartenstein
11th IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom-2012), Liverpool, UK, June 2012

Kontakt: Jens Köhler (jens koehler does-not-exist.kit edu), Martin Nussbaumer (martin.nussbaumer@kit.edu)