Shibboleth in Deutschland
Einmal und nie wieder. Ganz so einfach ist die Authentifizierung für verschiedene, ortsunabhängige Dienste oder lizenzierte Inhalte verschiedener Anbieter dann leider doch noch nicht überall - aber dank Single-Sign-On-Lösungen wie z.B. Shibboleth kommt man diesem Ziel ein gutes Stück näher.
Die Software Shibboleth ermöglicht ein Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices. Shibboleth überprüft Identität und Berechtigungsprofil eines Nutzers, und das unabhängig vom Ort der Eingabe.
Vorteil für den Nutzer: Er muss sich nur einmal in seiner Heimateinrichtung authentifizieren, um verschiedene Dienste ortsunabhängig zu nutzen. Berechtigungsinformationen werden anonymisiert an den Anbieter weitergeleitet. Vorteil für die Einrichtung/den Anbieter: Durch die Vergabe von Zugriffsberechtigungen, die den individuellen Zugang zu den Onlineanwendungen festlegen, sind Inhalte und Systemfunktionen vor Missbrauch geschützt.
Eine solche Infrastruktur für Authentifizierung und Autorisierung (AAI) steht nun auch in Deutschland zur Verfügung. Damit wird der kontrollierte Zugang zu Informationen nicht nur vereinfacht, sondern auf eine deutschlandweite einheitliche Basis gestellt.
Die DFN-AAI wird vom Deutschen Forschungsnetz (DFN) unterhalten, die u.a. die vertragliche Koordination zwischen Anbietern geschützter Ressourcen (Service Providern) und Teilnehmern (Identity Providern) übernimmt und die Einhaltung der Föderations-Policy überwacht. Hierin verpflichten sich die Beteiligten u.a. zur Einhaltung von Qualitäts- und Pflegestandards. Für Identity-Provider wird der Betrieb eines Identity-Management-Systems, mindestens aber eine vertrauenswürdige Benutzerverwaltung mit konsistentem und aktuellem Datenbestand vorausgesetzt.
Die bisher überwiegend genutzte Authentifizierung über IP-Adressen (z.B. im Hochschulbereich) soll durch das neue Verfahren abgelöst werden, das eine viel genauere und korrektere Zuteilung von Zugriffsberechtigungen ermöglicht. Eine besondere Herausforderung stellt die Verwaltung der Zugangsberechtigungen für die DFG Nationallizenzen dar. Um auch wissenschaftlich interessierten Privatpersonen den Zugriff auf die DFG Nationallizenzen zu ermöglichen, betreibt die Verbundzentrale des GBV einen allgemeinen Identity Provider, der die Authentifizierung übernimmt.
Ebenfalls beim DFN-AAI gepflegt wird der Lokalisierungsdienst oder WAYF-Service (Where are you from?) über den die Nutzer ihre Heimateinrichtung auswählen können.
Aktuell nehmen 17 Service Provider und 14 Identity Provider an der DFN-AAI-Föderation produktiv teil. Ca. 90 weitere befinden sich im Testverfahren, das eine zwingende Voraussetzung zur Teilnahme darstellt.
Detaillierte Informationen zur Föderation, den Dienstleistungen und dem Verfahren finden Sie unter: https://www.aai.dfn.de/
OCLC ist auf diese Entwicklung vorbereitet und unterstützt softwareseitig Ihre Teilnahme an der Föderation als Service oder Identity Provider.
Die Portalanwendungen SISIS-Elektra und OCLC TouchPoint sind als potentielle Service-Provider „shibbolethfähig“. Sie können über die Software übermittelte Berechtigungsinformationen also auswerten und in Zugriffsrechte umsetzen. Das Bibliotheksservice Zentrum Baden-Württemberg (BSZ) nutzt diese Schnittstelle schon seit geraumer Zeit für die Elektra-Portale der wissenschaftlichen Bibliotheken in Baden-Württemberg, Saarland und Sachsen.
Auf der anderen Seite steht mit dem OCLC IDM-Connector eine Lösung zur Verfügung, die den Benutzerdatenaustausch zwischen dem IDM-System einer Hochschule und der Bibliotheksanwendung automatisiert und es damit wesentlich leichter macht, die hohen Anforderungen der DFN-AAI an eine vertrauenswürdige Benutzerverwaltung einzuhalten.
Weitere Informationen zu diesen Produkten erhalten Sie über deutschland@oclc.org.