SURFnet dienstenbrochure
A-Select:
de
A
van
authenticatie
© SURFnet, 2005 SURFnet bv Postbus 19035 3501 DA Utrecht www.surfnet.nl
[email protected]
Eerder verschenen in deze reeks: - Streaming audio en video www.surfnet.nl/publicaties/brochures/streaming - Het internet georganiseerd www.surfnet.nl/publicaties/brochures/organisaties - SURFnet5: Het netwerk belicht www.surfnet.nl/publicaties/brochures/surfnet5 - Groepscommunicatie met conferencing www.surfnet.nl/publicaties/brochures/conferencing - Veilig communiceren op het Internet www.surfnet.nl/publicaties/brochures/beveiliging Via het bestelformulier op www.surfnet.nl/info/publicaties kunt u een gratis exemplaar aanvragen van deze en eerder verschenen dienstenbrochures.
1
Waar toegang tot het internet voorheen beperkt was tot de eigen werkplek, is er tegenwoordig
De
A
van
authenticatie
geen locatie meer te verzinnen, waar je niet je e-mail kunt checken of kunt surfen over het internet. Gastgebruik van pc’s met internetverbinding is bijvoorbeeld op veel onderwijs- en onderzoeksinstellingen mogelijk. Daarnaast maken draadloze toegangstechnieken het mogelijk om ook met eigen apparatuur, zoals laptop of PDA, bijvoorbeeld via EduRoam* vrijwel
Enkele jaren geleden had eenieder enthousiast getekend voor de mogelijkheden op gebied van internettoegang en -gebruik, maar inmiddels is het denkproces hierover alweer enkele stappen verder. Het hebben van verbinding met het internet alleen is niet langer voldoende. We willen, waar we ook zijn, toegang hebben tot onze gegevens en gebruik kunnen maken van de applicaties, die we gewend zijn op ons werk of thuis te gebruiken. Daarbij ligt de nadruk op webapplicaties. Voor het onderwijs gaat het dan bijvoorbeeld om elektronische leeromgevingen, bibliotheekcatalogi en de systemen waarin cijferlijsten worden bijgehouden. Daarbuiten geldt het bijvoorbeeld voor de toegang tot elektronische publicaties of privacygevoelige toepassingen van de overheid; denk aan de belastingaangifte.
overal verbinding te maken met het internet. Door deze mogelijkheden is authenticatie, het vaststellen dat iemand is wie hij zegt te zijn, een belangrijk thema geworden.
Middleware De technologie die wordt gebruikt om onder andere authenticatie en autorisatie te implementeren, wordt aangeduid met de term ‘middleware’. Dat is software die zich bevindt tussen de netwerklaag en de applicatielaag. Voor datanetwerken is een model opgesteld - het OSImodel - dat uitgaat van zeven lagen. De netwerklaag is een ‘lage’ laag, de applicatielaag is een ‘hoge’ laag en middleware is dus een soort tussenlaag, vandaar de naam.
Voor veel organisaties uit de SURFnet-doelgroep (instellingen voor onderwijs en onderzoek, bibliotheken en de overheid) is het een streven om het gebruik van de applicaties, die normaal alleen bereikbaar zijn vanaf het eigen lokale netwerk, mogelijk te maken vanaf een willekeurige plek. Hierbij staan twee zaken centraal: gemak en veiligheid. Deze twee zaken worden binnen een instellingsnetwerk anders ingevuld dan bij toegang van buitenaf. Het is één ding om een netwerk en applicaties binnen een instelling te beveiligen, maar toegankelijkheid van applicaties van buiten de fysieke muren van de organisatie is een ander verhaal. Die veiligheid bij gebruik op afstand wordt onder andere bereikt met een goede authenticatie voor de applicaties en versleuteling van het dataverkeer met behulp van bijvoorbeeld Virtual Private Networks (VPN’s)* of Secure Sockets Layer (SSL)*; gemak houdt in dat de goede username password combinatie slechts één keer hoeft te worden ingevoerd en dat daarmee alle toepassingen bruikbaar zijn. Gemak houdt ook in dat het beheer van de authenticatiemethoden centraal kan plaatsvinden. Bovendien hoeft de gebruiker minder combinaties van gebruikersnaam en wachtwoord te onthouden. A-Select, de authenticatievoorziening die door SURFnet is ontwikkeld, behelst deze twee kenmerken: het is een authenticatie-infrastructuur die single-logon (ook wel single sign-on) mogelijk maakt voor een breed scala aan toepassingen. Hoewel A-Select kan worden bestempeld als een innovatief product, dat nog volop in ontwikkeling is, wordt de infrastructuur al op verschillende plaatsen uitgerold. A-Select wordt ingezet op diverse hogescholen, bij bedrijven en bij de Digitale Identiteit van burgers en bedrijven van de overheid (www.digid.nl). Inmiddels is A-Select een ‘open source’ product, waardoor het niet alleen zeer breed beschikbaar is geworden, maar ook open staat voor verdere doorontwikkeling. Actuele informatie over instellingen die werken met A-Select is te vinden op: www.a-select.org.
* Zie de begrippenlijst op pagina 12.
2
Authenticatie is het vaststellen dat iemand daadwerkelijk is wie hij zegt te zijn. Dit kan met
A-Select
uitgelegd
behulp van verschillende methodes worden gedaan. Zo kan er worden gekeken naar de informatie waarover iemand beschikt, zoals een toegangscode of kan er worden gekeken naar objecten die iemand in bezit heeft, zoals een paspoort of rijbewijs, of zelfs een bankkaart of mobiele telefoon. Ook kan er worden gekeken naar lichamelijke kenmerken (biometrie) van een persoon, zoals een vingerafdruk of een irisscan. Deze methoden worden in de 'echte' wereld gebruikt, maar ook in digitale omgevingen. Hoe zekerder je kunt zeggen dat die kenmerken bij niemand anders dan de bedoelde persoon kunnen horen, hoe sterker de authenticatie is.
A-Select is een systeem dat wordt gebruikt om authenticatie te centraliseren in omgevingen, waarin meerdere vormen van authenticatie voor verschillende toepassingen worden gebruikt. Zie het als een menu, waaruit gekozen kan worden. De instelling heeft de controle over de manier waarop kan of moet worden geauthenticeerd en bepaalt dus welk menu een eindgebruiker voor zich krijgt. Een afzonderlijke applicatie hoeft authenticatie van gebruikers niet zelf af te handelen. De eindgebruiker authenticeert zich op een manier zoals hij reeds gewend is maar kan, waar mogelijk, zelf kiezen van welke authenticatiemethode gebruik wordt gemaakt. A-Select is een middlewarevoorziening die verschillende applicaties kan koppelen met verschillende authenticatiemogelijkheden. Voorbeelden van mogelijke authenticatievormen binnen die infrastructuur zijn: - Gebruikersnaam/wachtwoord (LDAP, RADIUS, Active Directory, SQL, flat file) - SURFkey* (waarbij eenmalige wachtwoorden worden gegenereerd met behulp van SMS of bankpas) - X.509 certificaat (PKI) - Passfaces (een reeks verschillende gezichtjes die in de juiste volgorde een soort pincode vormen) - IP-adres - Tokens (hardwareproducten zoals bijvoorbeeld Vasco of RSA SecurID)
Authentication Service Providers Voor de feitelijke authenticatie kan gebruik worden gemaakt van diverse AuthSP’s (Authentication Service Providers). Deze authenticatieservices, zoals een directory service, kunnen lokaal maar ook extern zijn. Lokaal houdt in, dat de service binnen het eigen netwerk draait. Extern houdt in, dat de service in beheer is bij derden, zoals bij SURFkey bijvoorbeeld het geval is. De A-Select-server zorgt ervoor, dat de verschillende applicaties van een instelling kunnen communiceren met al deze authenticatieservers. Hierdoor kan het gebeuren dat een student, die inlogt voor een leeromgeving op zijn instelling, tijdens de inlogprocedure met SURFkey gebruik maakt van de inlogschermen van de internetbankieren-functionaliteit van zijn bank. Daarna komt hij, als de authenticatie succesvol is, direct uit bij de leeromgeving waarvoor hij zich aanmeldt. Hij logt dus niet in voor internetbankieren, maar maakt alleen gebruik van de authenticatiemogelijkheid van de bank. Belangrijk is hierbij op te merken dat de onderwijsinstelling geen inzicht heeft in de bancaire gegevens van de student en dat de bank geen inzicht heeft in de studiegegevens van de student. De enige informatie die wordt uitgewisseld, is dat student x daadwerkelijk is wie hij zegt dat hij is, op basis van de gegevens die hij verstrekt.
* Zie de begrippenlijst op pagina 12.
3 Action User X 1
A-Select Aware Application Y
AuthSP Z
I have someone that I want to authenticate.
2 3
Send him to me.
4 5
A-Select Server
Can I come in? I have no application ticket.
Go authenticate yourself. Hi, I am User X, I must authenticate myself for Application Y. User X has no ticket granting ticket. For Application Y he has to be authenticated by AuthSP Z.
6 7
Go authenticate yourself with AuthSP Z. Hi, Please authenticate me. Authenticate this user and redirect him back to the A-Select Server.
8
User authentication You are authenticated; go back to the A-Select Server.
9 10
Hi, I have just authenticated myself. Can I have a ticket granting ticket? This is User X and he was authenticated by AuthSP Z. Ok, he will be issued a fresh ticket granting ticket. Go to the application and this is your ticket granting ticket.
11
12
Can I come in? I have no application ticket, but I have a ticket granting ticket and I am User X. I have someone claiming to be User X and having this ticket granting ticket that is issued by you. Is this true?
13
Verify User X and ticket granting ticket combination. 14
Yes, this is true. Ok, let's generate an application ticket and issue it to this user. Hi User X, here is your application ticket. Come on in.
15 16 17
Can I come in? I am User X and this is my application ticket. Verify User X and application ticket combination.
18
Come on in.
Het verloop van een authenticatiesessie met A-Select in stappen. (Bron: http://a-select.surfnet.nl/)
Een met SURFkey gegenereerd wachtwoord.
Het is niet alleen mogelijk om op verschillende niveaus te authenticeren, het is ook mogelijk dat een gebruiker slechts één keer inlogt om gebruik te maken van verschillende applicaties (single sign-on). Daarbij geldt wel de voorwaarde, dat een gebruiker op een voldoende sterk niveau is geauthenticeerd. De verschillende authenticatiemethoden die via A-Select met applicaties worden gekoppeld, kunnen variëren van zwakke authenticatie (combinatie van gebruikersnaam en wachtwoord) tot sterke vormen van authenticatie, zoals SURFkey. Daarbij wordt gebruik gemaakt van iets wat de gebruiker weet (zoals een pincode) en een object dat de gebruiker bezit (zoals een mobiele telefoon of bankpas). Als een gebruiker zich al sterk heeft geauthenticeerd, zal hij zonder problemen gebruik kunnen maken van applicaties die authenticatie op eenzelfde of lager niveau vereisen. Indien de authenticatie niet van voldoende niveau was, zal echter opnieuw moeten worden geauthenticeerd voor applicaties die een sterkere vorm van authenticatie vereisen. Een instelling kan zelf kiezen van welke methoden gebruik wordt gemaakt. Op deze manier is het mogelijk en zelfs eenvoudig om verschillende authenticatiemethoden in te zetten. Er worden geen specifieke vormen van authenticatie opgelegd. Doordat het ook mogelijk is om van externe AuthSP’s gebruik te maken, kan de eigen authenticatie-infrastructuur beperkt worden gehouden, terwijl de authenticatie-
4
Gebruiker Applicatie-servers Directory-server
Internet
A-Select-server
Externe AuthSP-servers
Lokale AuthSP-servers
mogelijkheden toenemen. Een instelling hoeft voor authenticatie bijvoorbeeld geen eigen chippassen uit te geven, omdat gebruik gemaakt kan worden van reeds bestaande bankpassen. Door de authenticatie binnen een organisatie centraal en via dezelfde server te regelen, is het niet langer nodig dat studenten en medewerkers meerdere wachtwoordcombinaties onthouden. Het is namelijk mogelijk om gebruik te maken van single sign-on. Ook kan vrij eenvoudig van authenticatiemethode worden gewisseld. Bovendien ontstaat er meer eenduidigheid in de administratie, die niet langer per applicatie hoeft te worden bijgehouden. Mede hierdoor is A-Select zowel op korte als op lange termijn een interessante oplossing voor authenticatie. Het draagt bij aan de realisatie van ‘unified accounts’.
Bestaande Authenticatie Back-end
De A-Select-server kan via het internet communiceren met gebruikers, applicaties en andere servers.
5
Medewerkers en studenten van instellingen voor hoger onderwijs maken op verschillende locaties
A-Select
in
het
onderwijs
gebruik van online onderwijs- en onderzoekstoepassingen: de thuiswerkplek, een gastinstelling of met een laptop vanaf een willekeurige plaats, waar ook ter wereld. Op deze manier kunnen cijfers en onderzoeksresultaten worden geraadpleegd en kan gebruik
Floor van Grouw, Saxion Hogescholen: ‘Sinds de zomer van 2003 werken wij met A-Select. Dat is begonnen met SURFSPOT en ook onze portal omgeving is gekoppeld met A-Select. We hebben gekozen voor A-Select, omdat we zien dat er steeds meer webapplicaties komen. We willen die erg graag voorzien van een gelijke inlog. Veel webapplicaties beschikken over eigen inlogmogelijkheden (vaak met LDAP mogelijkheden), maar ook erg veel applicaties niet. Juist veel van die applicaties, die door onszelf ontwikkeld worden, zijn erg geschikt voor koppeling met A-Select.
worden gemaakt van elektronische leeromgevingen. Bij al deze gegevens geldt, dat het zowel voor de instelling als voor de gebruiker belangrijk is dat deze goed worden afgeschermd. Afhankelijk van de toepassing die wordt gebruikt, kan de instelling een authenticatieniveau kiezen. Eén van de instellingen, die reeds ervaring hebben opgedaan met A-Select, is
De uiteindelijke gebruikers van authenticatie via A-Select hebben niet centraal gestaan bij de keuze voor deze infrastructuur. Het ging er met name om dat de authenticatie voor deze applicaties op een werkbare, vergelijkbare manier kon worden ingericht. Op dit moment wordt alleen gebruik gemaakt van username/ password combinaties en, in mindere mate, SURFkey met de bankkaart. Als we er in de toekomst voor kiezen om voor meer applicaties een sterkere authenticatie te vereisen, dan kan dat relatief eenvoudig worden ingevoerd. Ook als we niet doorgaan met een authenticatiemethode – authenticatie met bankkaarten is momenteel slechts mogelijk voor de klanten van twee banken – dan is het niet al te moeilijk om dit centraal te bewerkstelligen. A-Select biedt die flexibiliteit.
Saxion Hogescholen. Onze ervaringen met A-Select zijn positief. Natuurlijk zijn er wat aanloopproblemen geweest, maar dat hoort nu eenmaal bij het pionierswerk dat in feite gedaan wordt. Onze Oracle portal bleek eerst niet zo makkelijk aan A-Select te koppelen als gedacht. Met de hulp van specialisten van zowel Oracle als Alfa&Ariss is dit opgelost. Nu wordt er gemiddeld per dag door 18.000 unieke gebruikers ingelogd op de portal, wat aanvankelijk resulteerde in snel vollopende logfiles. Ook daar is een oplossing voor. De kinderziektes zijn nu genezen en gedocumenteerd, zodat instellingen die na ons starten met de implementatie van A-Select daarvan kunnen profiteren. Er is één aspect waar ondanks alle inspanningen rekening mee moet worden gehouden: als er voor de eindgebruikers iets verandert in de manier waarop moet worden ingelogd, dan kan de helpdesk rekenen op een stortvloed aan vragen. We hebben dit bij de overgang van de portal naar A-Select een tijd geleden nog ervaren: er stond duidelijk aangegeven dat gebruikers hun eigen wachtwoord konden blijven gebruiken en nóg wilden ze dat bevestigd zien.
SURFkey met een bankkaart.
De volgende stap voor ons is om naast de Saxion portal en SURFSPOT ook andere webapplicaties geschikt te maken voor koppeling aan de A-Select-infrastructuur. Het is uiteindelijk de bedoeling om alle webapplicaties die we gebruiken, bereikbaar te maken via de portal en dus via één authenticatie-infrastructuur. De keuze voor A-Select is zo dus echt een lange termijnoplossing.’
6
Om toegang tot een applicatie via A-Select mogelijk te maken, is het in de meeste gevallen
A-Select
enabled
applicaties
noodzakelijk de applicatie aan te passen. De applicatie dient immers te ‘weten’ dat voor authenticatie vertrouwd moet worden op een externe authenticatieprocedure, waarvoor een sessie met de A-Select-server moet worden opgezet. Een aantal veelgebruikte toepassingen is reeds klaar voor gebruik in combinatie met A-Selectgebaseerde authenticatie. Voorbeelden zijn de elektronische leeromgeving Blackboard en het content managementsysteem MMBase. Een actueel overzicht van deze applicaties is te
Shibboleth Een vorm van middleware die hier zeker het noemen waard is, is Shibboleth. Shibboleth is een middleware omgeving, die in de Verenigde Staten is ontwikkeld door Internet2, het Amerikaanse nationale onderzoeksnetwerk. Shibboleth zorgt voor een aantal aspecten van toegangscontrole tot diensten. Hiertoe behoort het verzamelen en doorgeven van attributen van gebruikers, op basis waarvan beslissingen kunnen worden genomen om toegang tot bepaalde diensten te verlenen. Het Shibboleth-platform biedt mogelijkheden de privacy van de gebruikers te garanderen: slechts de kenmerken van een gebruiker, die noodzakelijk zijn voor het verkrijgen van toestemming, worden doorgegeven vanuit een administratief systeem aan een applicatie waartoe de gebruiker toegang wil verkrijgen. Zo kan het nodig zijn voor toegang tot de catalogus van de bibliotheek van een bepaalde instelling aan te tonen, dat iemand tot de doelgroep van die instelling behoort, zonder dat daarbij een naam en/of e-mailadres hoeft te worden vrijgegeven.
vinden op www.a-select.org. Het integreren van applicaties met A-Select is niet erg complex. Er is een duidelijke beschrijving van de vereisten en er zijn voorbeelden
De naam Shibboleth vindt zijn oorsprong in het Hebreeuws, waarbij het gold als een wachtwoord, dat niet door de vijand kon worden uitgesproken. Net zoals de Nederlanders tijdens de Tweede Wereldoorlog mensen herkenden die het woord ‘Scheveningen’ niet goed uitspraken, zo werd het woord ‘Shibboleth’ destijds gebruikt.
beschikbaar. De inspanning die integratie eenmalig kost, wordt beloond met een groot gebruiks- en beheergemak, wat uiteraard ook een kostenbesparing oplevert.
Een voorbeeld Stel dat Professor de Vries hoogleraar Glasvezeltechnologie is aan de faculteit Internet van de Universiteit van Ductstad. Op het moment dat, na authenticatie via bijvoorbeeld A-Select, bekend is dat degene die zich aanmeldt daadwerkelijk Professor de Vries is, weet Shibboleth op basis van policies welke attributen van deze persoon aan derden mogen worden doorgegeven om hem van bepaalde applicaties gebruik te kunnen laten maken. Daarbij is de keuze uit de volgende attributen: - naam: De Vries - functie: hoogleraar - verbonden aan: Universiteit van Ductstad - werkzaam bij: faculteit Internet Op basis van slechts het attribuut ‘verbonden aan de Universiteit van Ductstad’ kan toegang worden verkregen tot de online catalogus van de academische bibliotheek aldaar. Pas wanneer het voor de toegang tot een applicatie (bijvoorbeeld het persoonlijke vakantiedagen-overzicht van Professor de Vries) nodig is om het attribuut ‘naam’ te verkrijgen, zal dit ten behoeve van de autorisatie doorgegeven worden aan de applicatie. Dit alles dus pas na toestemming van de instantie die de gegevens beheert.
7
Het spreekt voor zich dat het bepalen van de policies, op grond waarvan attributen al dan niet mogen worden vrijgegeven, cruciaal is. Met goede policies is een afhandeling van autorisatieverzoeken met respect voor privacygevoelige informatie verzekerd. De drie kernbegrippen waar het om gaat zijn authenticatie, attribuutverzameling en autorisatie. Shibboleth is met name gericht op attribuutverzameling, de beveiligde verzending van attribuutgegevens en autorisatie. De A in A-Select staat voor authenticatie. A-Select zegt dus alleen of iemand is wie hij zegt dat hij is en geeft op basis daarvan geen bevoegdheden af. Voor deze autorisatie, het afgeven van bevoegdheden die horen bij de persoon die inlogt, kan een toepassing als Shibboleth worden gebruikt. Omgekeerd heeft Shibboleth een authenticatieslag nodig voordat attributen kunnen worden toegekend. De identiteit van iemand moet immers zeker zijn, voordat persoonskenmerken aan deze persoon kunnen worden gekoppeld. Authenticatie
Wie ben je?
A-Select
Attributen
Welke kenmerken heb je?
Shibboleth
Autorisatie
Wat mag je? (op basis van de beschikbare kenmerken)
Shibboleth
Waar A-Select focust op authenticatie, richt Shibboleth zich dus op autorisatie. Om gezamenlijk tot een kanten-klare totaaloplossing te komen werkt SURFnet derhalve samen met Internet2 aan innovatie op dit gebied. Meer informatie over Shibboleth is te vinden op de A-Select website.
8
Bibliotheken maken in veel gevallen deel uit van een onderwijsinstelling en zijn zodoende door-
A-Select
en
bibliotheken
gaans verweven met de ICT-infrastructuur van die instelling. Voor bibliotheken gelden echter nog andere overwegingen bij het online aanbieden van toepassingen. Bovendien zijn er ook veel bibliotheken die niet aan een onderwijs- of onderzoeksinstelling zijn verbonden en dus zelf op zoek moeten naar oplossingen. Aan deze overwegingen wordt aandacht geschonken in een apart thema van Stichting SURF: Bibliotheken en Access Management (BAM).
Gebruikers kunnen in principe vanaf willekeurig welke plek hun leengegevens inzien, boeken verlengen en reserveren. Ook artikelen en andere digitale content kunnen zonder veel problemen worden aangeboden, maar daarbij speelt wel een belangrijke externe partij een rol: de uitgever. Ook daar zijn momenteel ontwikkelingen gaande op het gebied van single signon. Om ervoor te zorgen dat alleen gebruikers die binnen de ‘licentie’ van een instelling vallen toegang kunnen krijgen tot deze digitale content, is goede authenticatie hier van cruciaal belang. Jan David Hanrath, Vereniging Openbare Bibliotheken: ‘In de bibliotheekwereld worden steeds meer online diensten aangeboden. Voorbeelden hiervan zijn diensten van Pica en de krantenbank. De afscherming van die diensten is voor de aanbieders ervan natuurlijk belangrijk, maar in bibliotheekland wordt gebruik gemaakt van meer dan 300 gebruikerssystemen, waarin namen, lenersnummers, pincodes en dergelijke opgeslagen worden. Soms is zo’n systeem in gebruik bij een cluster van bibliotheken, maar soms ook bij één enkele bibliotheek. Als aanbieders hun diensten breed willen aanbieden, zouden er dus vertrouwensrelaties moeten worden opgezet tussen al die systemen en elke dienst. Telkens wanneer er een nieuwe bibliotheek of een nieuwe dienst zou komen, zouden er dan weer nieuwe relaties moeten worden opgezet.
Landelijk lenen A-Select biedt voor ons een mooie oplossing om het probleem met alle verschillende systemen weg te nemen. Tussen de bibliotheken aan de ene kant en de verschillende diensten aan de andere kant, wordt een proxy A-Select-server geplaatst, die speciaal voor de bibliotheken is ontwikkeld, maar die ook beschikbaar komt in de reguliere A-Select infrastructuur. Een nieuwe bibliotheek hoeft slechts een vertrouwensrelatie aan te gaan met die server om van alle aangesloten diensten gebruik te kunnen maken. Omgekeerd kan een nieuwe dienstenaanbieder zijn diensten breed ontsluiten door een koppeling te maken met de A-Select-server. Aan één van die nieuwe diensten werken wij momenteel in het project ‘Landelijk lenen’. Daarbij is het mogelijk om een boek, dat niet te krijgen is via de eigen bibliotheek, te reserveren bij de dichtstbijzijnde bibliotheek die het boek wel heeft. Vervolgens wordt het boek afgeleverd bij de eigen bibliotheek. Daarvoor is het natuurlijk van belang dat de bibliotheek die het boek levert weet, dat de aanvraag wordt gedaan door iemand die daartoe ook gerechtigd is. Vandaar ook weer die koppeling met A-Select. De A-Select-server die momenteel door de bibliotheken wordt ingezet, bevat enkele componenten die op maat zijn gemaakt. Zo kan de A-Select-server in een aparte database opzoeken naar welk systeem een verzoek moet worden doorverwezen en verzorgt de server het
9
certificaatbeheer. In een volgende versie van A-Select zullen deze componenten standaard zijn ingebakken, waarmee de bibliotheekwereld ‘gewoon’ gebruik maakt van A-Select en andere instellingen gebruik kunnen maken van de mogelijkheden die nu op maat gemaakt zijn, wat mogelijk is omdat A-Select Open Source is. Features waar aan gewerkt wordt zijn onder andere de mogelijkheid om authenticatie op instellingsniveau toe te passen, zodat een aanbieder zijn diensten slechts aan die bibliotheken met een abonnement kan aanbieden en uiteindelijk is het de bedoeling dat authenticatie zelfs op het niveau van het individu kan worden toegepast.’
Applicatieleverancier
A
bibliotheek.nl
Lokaal bibliotheeksysteem
A
A Bibliotheeksysteem
A-Select server
7001 903 423 4 Thuisgebruiker niet herkend: doorsturen naar bibliotheek.nl
Koppeling lenersnummer naar bibliotheeksysteem
**** Controle combinatie lenersnummer – pincode
Schematische weergave van A-Select in de bibliotheekwereld
10
A-Select heeft een vliegende start beleefd. Instellingen die inmiddels gebruik maken van
De
A
van
AAI
A-Select zijn erg tevreden. Om op deze solide basis door te kunnen bouwen, is de programmalijn AAI (Authenticatie en Autorisatie Infrastructuur) opgenomen in het innovatieprogramma SURFworks. AAI omvat in de SURFnet-wereld naast A-Select ook EduRoam en Shibboleth.
Federatieve structuur Eén van de zaken, die in toekomstige versies van A-Select zal worden verbeterd, is de mogelijkheid tot cross-domain autorisatie en verbeterede interoperabiliteit met Shibboleth. Hiertoe zal de bronarchitectuur van A-Select worden aangepast, zodat een federatieve structuur kan worden ingevoerd. Crossdomain autorisatie houdt in dat een gebruiker die verbonden is aan instelling A, zich ook bij instelling B kan authenticeren. Om te voorkomen dat een instelling hiertoe met vele afzonderlijke instellingen afspraken moet maken, wordt gekozen voor een federatieve structuur, waarin partijen een centrale partij vertrouwen en daarmee ook alle andere instellingen vertrouwen, die met die centrale partij (de trusted third party) verbonden zijn. Deze manier van werken is al bekend in bijvoorbeeld de PKI-infrastructuur (Public Key Infrastructuur) en EduRoam.
Wereld
Europa
NL
UvA
Vakgroep X
Een federatie kan bestaan uit een hiërarchische indeling van instellingen waarbij onder andere duidelijke afspraken zijn gemaakt over de te volgen procedures met betrekking tot authenticatie en autorisatie, maar ook over het beheer van identiteiten.
All-in-one Op grond van ervaringen en wensen van instellingen die A-Select reeds gebruiken, wordt tevens gekeken naar de mogelijkheden om aan de authenticatie van A-Select ook een basale autorisatie-functionaliteit toe te voegen. Daarmee komt dan een AAI-voorziening waarbinnen gekozen kan worden voor verschillende ‘smaken’: - Alleen authenticatie (A-Select); - Authenticatie met basale autorisatie (A-Select); - Authenticatie met uitgebreide autorisatiemogelijkheden (A-Select met Shibboleth). Afhankelijk van de behoefte van een instelling kan dan een passende oplossing worden gekozen. Instellingen kunnen bij de keuze voor een AAI-oplossing worden
11
bijgestaan door de experts van SURFnet en haar ontwikkelpartners. Voor de ontwikkeling van toekomstige versies van het A-Select-platform is een strategie opgesteld. Er zal worden gewerkt aan drie productlijnen binnen A-Select: - A-Select Basis is de voortzetting van de huidige implementatie van de voorziening; - A-Select Components levert additionele functionaliteit zoals attribuutvergaring en autorisatie; - A-Select NG (Next Generation) is gericht op research en development van een geheel nieuw A-Select platform. Van de eerste twee productlijnen zal medio 2005 de eerste release beschikbaar komen; aan de release van een eerste versie van A-Select NG zal het hele jaar worden gewerkt. Verder wordt gekeken naar de mogelijkheid om nieuwe AuthSP’s te vinden die hun diensten via A-Select kunnen aanbieden.
Website De A-Select website bevat alle informatie over de authenticatievoorziening die beschikbaar is. De broncode, handleidingen en informatie over de meest recente ontwikkelingen zijn hier te vinden, alsmede informatie over applicaties die reeds A-Select enabled zijn. Tevens is hier contactinformatie te vinden voor hen die interesse hebben in het gebruik van A-Select binnen hun eigen organisatie.
12
Begrippenlijst EduRoam EduRoam maakt het mogelijk om binnen een instelling gastgebruikers van andere instellingen met een SURFnet-aansluiting te authenticeren. Vooral voor wireless gebruik wordt veel gebruik gemaakt van EduRoam. Meer informatie is te vinden via de EduRoam-website op www.eduroam.nl.
SSL: Secure Sockets Layer SSL is een techniek die beveiligde transport van data mogelijk maakt. Op deze manier is het bijvoorbeeld mogelijk om op een veilige manier te communiceren met een webserver. Een klein slotje in de hoek van een browserwindow kan erop duiden dat gegevens via SSL worden uitgewisseld. In de url van een webpagina is vaak 'https' in plaats van 'http' zichtbaar.
SURFkey SURFkey is een sterke authenticatiemethode, die gebruik maakt van iets wat een gebruiker weet (bijvoorbeeld een pincode) en iets wat een gebruiker heeft. Dit laatste is in het geval van SURFkey een mobiele telefoon (eerder bekend als Niegefoon) of een bankpas van ABN AMRO of de Rabobank (eerder bekend als Niegebach).
VPN: Virtual Private Network
Met dank aan Bart Kerver, Jan David Hanrath en Floor van Grouw
Druk: De Longte Dordrecht
Vormgeving: Vos Ontwerp bv (Amsterdam/Antwerpen)
Tekst en samenstelling: Elise Roders
VPN maakt het mogelijk om vanaf buiten veilige toegang te verkrijgen tot een besloten netwerk. Op deze manier kunnen mensen bijvoorbeeld vanaf thuis bij de netwerkschijven en applicaties van de instelling waar zij werken of studeren.
Links A-Select website www.a-select.org SURFnet themaportal Authenticatie en Autorisatie aaa.surfnet.nl SURF-thema Bibliotheken en Access Management (BAM) www.surf.nl/bam
