WWW.ABSTRACT.DISLIB.INFO
FREE ELECTRONIC LIBRARY - Abstracts, online materials
 
<< HOME
CONTACTS



Pages:   || 2 | 3 | 4 |

«Westfälische Wilhelms-Universität Münster Ausarbeitung Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E-Learning ...»

-- [ Page 1 ] --

Westfälische Wilhelms-Universität Münster

Ausarbeitung

Einsatz von Single-Sign-On Technologien im Rahmen

der Integration von E-Learning Anwendungen

Für das Hauptseminar „E-Learning“

Christian Nockemann

Toppheideweg 10, 48161 Münster

Mat.Nr: 312911

Themensteller: Prof. Dr. Herbert Kuchen

Betreuer: Christian Arndt

Institut für Wirtschaftsinformatik

Praktische Informatik in der Wirtschaft

Inhaltsverzeichnis

1 Einleitung

2 Single Sign-On

2.1 Einführung

2.2 Vor- und Nachteile

2.3 SSO-Anbieter

2.3.1 Shibboleth

2.3.2 Kerberos

2.3.3 OpenID

2.3.4 Evaluation der einzelnen SSO-Anbieter

3 SSO im E-Learning-Kontext

3.1 Vorteilhaftigkeit von SSO im E-Learning Kontext

3.2 SSO an der Westfälischen Wilhelms-Universität

3.2.1 SSO-Landschaft

3.2.2 Kopplung mit dem zentralen Identitätsmanagement der Hochschulverwaltung

3.3 Praktische Anwendung

3.3.1 Implementierung

3.3.2 Einsatz und Wartung

4 Fazit und Ausblick

Literaturverzeichnis

–  –  –

Heutzutage sehen sich viele Internet-Benutzer mit einer unüberschaubaren Anzahl von Web-Ressourcen konfrontiert. Die meisten davon haben aus Sicherheitsgründen geschützte Bereiche, auf die nur zugegriffen werden kann, wenn sich der Benutzer zuvor authentifiziert. Demzufolge müssen die meisten Benutzer in der Summe eine sehr große Anzahl von Anmeldedaten (bestehend aus Nutzerkennung und Passwort) verwalten.

Diese Entwicklung führt einerseits zu verminderter Benutzerfreundlichkeit, da die Benutzer viel Zeit mit fehlgeschlagenen Login-Versuchen und dem Wiederfinden von Passwörtern verbringen. Andererseits kann es aber auch zu ernsthaften Sicherheitsproblemen kommen. Beispielsweise hinterlegen viele Benutzer ihre Anmeldedaten als Gedächtnisstütze in elektronischer Form auf ihrem Rechner, was von der sicherheitstechnischen Relevanz in etwa mit der Aufbewahrung der Bankkarte und der zugehörigen PIN im gleichen Portemonnaie vergleichbar ist. Des Weiteren werden sehr oft die gleichen Anmeldedaten für verschiedene Web-Ressourcen benutzt, womit ein nicht vertrauenswürdiger Service Anbieter, unter Verwendung dieser Anmeldedaten, weit reichenden Zugriff auf sensible Daten hätte.

Auch aus der Sicht von Software-Entwicklern und Administratoren gibt es hier Besserungsbedarf. Die Verwaltung von Benutzerdatenbanken, die Entwicklung von sicheren Anmeldeverfahren sowie das Zurücksetzen von verlorenen BenutzerPasswörtern sind kosten- und zeitaufwändig. Innerhalb eines Unternehmens oder einer Universität kann es darüber hinaus auch schnell zu inkonsistenten Daten kommen, wenn jede vorhandene Anwendung eine eigene Benutzerdatenbank verwaltet, da bei einer Änderung der Benutzerdaten alle einzelnen Datenbanken aktualisiert werden müssen.

Um einen Lösungsansatz für diese Probleme zu finden, ist es nötig, sich über eine Alternative zum klassischen Modell der Authentifizierung (- jeder Service Anbieter verlangt eine separate Authentifizierung) Gedanken zu machen. Ein weit verbreiteter Ansatz zur Lösung dieser Probleme ist das so genannte Single Sign-On. Das Ziel dieser Ausarbeitung ist es, einen Überblick über die Grundlagen und Konzepte von Single Sign-On zu geben, sowie eine Auswahl von Single Sign-On Anbietern, respektive ihre Software vorzustellen. Dabei wird ein besonderes Augenmerk auf die Single Sign-Ongestützte Integration von E-Learning Anwendungen gelegt.

2 Single Sign-On

2.1 Einführung

Single Sign-On (SSO) ist ein Mechanismus, welcher es dem Benutzer erlaubt, sich mit einer einzigen Anmeldung bei mehreren Service-Anbietern zu authentifizieren. Dabei meldet sich der Benutzer bei einer zentralen, vertrauenswürdigen AuthentifizierungsAutorität (AA) an, die daraufhin für die Authentifizierung des Benutzers bei allen Service-Anbietern (SA) sorgt, die mit dieser AA zusammenarbeiten und bei denen der Benutzer Zugriffsrechte besitzt. Danach erhält der Benutzer Einsicht in die geschützten Inhalte dieser SAs.

Man kann dabei client- und serverbasierte SSO-Varianten unterscheiden [Koc07].

Erstere findet meist Anwendung innerhalb von Unternehmen und gewährleistet eine einheitliche Anmeldung bei mehreren auf einem Rechner installierten Programmen. Die zweite Variante kommt zur Anwendung, wenn auf mehrere verteilte InternetRessourcen mit einer einzigen Anmeldung zugegriffen werden soll. Da sich diese Ausarbeitung auf den Bereich des E-Learnings konzentriert und es sich dabei um WebAnwendungen handelt, ist im Folgenden immer das server-basierte gemeint, wenn von SSO die Rede ist.

Des Weiteren lassen sich SSO-Techniken nach der Art der Weiterleitung der Benutzerdaten differenzieren: direkt, token-basiert, sofort und temporär [Ope01].

• Bei der direkten Weiterleitung werden die Daten des Benutzers, nachdem er sich bei der AA angemeldet hat, von dieser unverändert an die SAs weitergegeben und dort zur Authentifizierung benutzt.

• Im Falle der token-basierten Weiterleitung gibt die AA nach der Anmeldung nicht die Benutzerdaten weiter, sondern sendet nur ein Token an den Benutzer.

Dieses Token ist eine Art Schlüssel, welchen der Benutzer verwenden kann, um Zugriff auf die geschützten Inhalte eines SA zu erhalten, ohne seine Anmeldedaten weitergeben zu müssen. Der SA kann sicher sein, dass ein Benutzer, der ein Token besitzt auch die entsprechenden Zugriffsrechte hat, ohne dass er Einsicht in die Anmeldedaten des Benutzers erhält.





• Bei der sofortigen Anmeldung fungiert die AA als eine Art Anmelde-Proxy für den Zugriff auf die einzelnen SAs. Das heißt, nachdem ein Benutzer sich bei der AA authentifiziert hat, erlangt er direkten Zugang zu den geschützten Ressourcen der SAs, ohne dass Letztere noch irgendwelche Informationen (seien es nun Anmeldedaten oder ein Token) benötigen.

• Bei der temporären Weiterleitung werden die Benutzerdaten nur eine gewisse Zeit lang bei der AA zwischengespeichert und können so lange für die Anmeldung bei den verschiedenen SA benutzt werden.

Wichtig bei dieser Unterscheidung ist, dass diese Kategorien nicht disjunkt sind und dass sich nicht jede SSO-Software eindeutig in eine dieser Kategorien einordnen lässt.

Die meisten führenden SSO-Anbieter (z.B. Shibboleth und Kerberos) benutzen allerdings die token-basierte Weiterleitung, teilweise in Kombination mit einer temporären Zwischenspeicherung der Benutzerdaten. Aus diesem Grunde wird im Folgenden detaillierter auf diese Art der Weiterleitung eingegangen.

–  –  –

Abb.1: Token-basierte Single Sign-On Anmeldung Abb. 1 zeigt den schematischen Aufbau eines token-basierten SSO-Anmeldevorgangs.

Dabei wird der grundsätzliche Anmelde-Prozess dargestellt, der tatsächliche Ablauf kann allerdings je nach SSO-Software in den Details davon abweichen (dazu mehr im Abschnitt 2.3). Zunächst meldet sich der Benutzer unter der Verwendung seiner Anmeldedaten (1) bei der AA an, woraufhin diese überprüft, ob der Benutzer in der Benutzer-Datenbank vorhanden ist und authentifiziert werden kann (2). Im Falle einer erfolgreichen Authentifizierung sendet die AA ein Token an den Agenten des Benutzers (im Normalfall also an den Browser) zurück (3), welches dieser nun zur Anmeldung bei den einzelnen SAs benutzen kann, die mit der AA zusammenarbeiten (4) [Dec02].

Hierbei ist zu beachten, dass der Agent des Benutzers die Anmeldung und Weiterleitung des Tokens übernimmt, so dass der Benutzer nur für die Anmeldung bei der AA in Aktion treten muss. Die Schritte (2) bis (4) sind demnach transparent für den Benutzer.

Wie in Abb1. zu sehen ist, müssen die Service-Anbieter der AuthentifizierungsAutorität vertrauen, dass wirklich nur berechtigte Benutzer Zugriff auf die gesicherten Inhalte erhalten. Auch müssen die Benutzer sicher sein können, dass Ihre Anmeldedaten von der AA nicht missbraucht werden. Darüberhinaus muss gewährleistet werden, dass die Anmeldedaten im Zuge der Übermittlung nicht ausspioniert werden können [Ope01]. Dies ist mit geeigneten Kryptographie-Methoden wie z.B. dem DiffieHellman-Schlüsselaustausch [Res99] oder dem RSA-Kryptosystem [Sch02] zu gewährleisten.

Nachdem ein Benutzer erfolgreich authentifiziert wurde, muss im nächsten Schritt überprüft werden, über welche Zugriffsrechte er verfügt. Dies geschieht im Rahmen der Autorisierung, welche der „Zuweisung […] von Zugriffsrechten auf Daten und Dienste an Systemnutzer“ [Jan04] dient. Im Zuge der Autorisierung wird also überprüft, auf welche Ressourcen ein authentifizierter Benutzer zugreifen darf. Dies geschieht häufig in Form einer Rollenzuweisung. Typische Rollen in E-Learning Anwendungen sind beispielsweise Administrator, Dozent/Korrektor und Student. Wie eine SSOAnwendung mit der Autorisierung der Benutzer umgeht, ist sehr unterschiedlich. In Abschnitt 2.3 werden drei SSO-Anwendungen vorgestellt, unter anderem wird dort auch darauf eingegangen, wie die Autorisierung der Benutzer vonstatten geht.

Es sei auch noch erwähnt, dass einige SSO-Anbieter einen so genannten Single-SignOut-Mechanismus unterstützen, der gewährleistet, dass ein Benutzer, der sich bei allen SAs gleichzeitig abmelden möchte, dies auch tun kann. Das macht insbesondere im ELearning-Kontext Sinn, da bei Benutzung öffentlicher Rechner (z.B. an der Universität) ohne solch einen Mechanismus ein nachfolgender Benutzer Zugriff hätte auf alle SAs, für die sich der vorherige Benutzer per SSO angemeldet hat. Diese Problematik wird in Abschnitt 3.2 genauer erörtert.

2.2 Vor- und Nachteile Zunächst einmal bleibt festzuhalten, dass einige der in der Einleitung genannten Sicherheitsprobleme wie das Weitergeben von Anmeldedaten an nichtvertrauenswürdige Service-Anbieter mithilfe von SSO gelindert werden können.

Andererseits zeigen alle derzeit auf dem Markt verfügbaren SSO-Softwarepakete auch Schwächen in Bezug auf Komfort und Sicherheit. Im Folgenden werden daher die Vorteile und Nachteile von SSO gegenübergestellt.

Zu den wichtigsten Vorteilen zählen folgende Punkte:

–  –  –

• Erhöhung der Benutzerfreundlichkeit

• Erhöhung der Sicherheit, da die Anmeldedaten nur an eine einzige Authentifizierungs-Stelle weitergegeben werden müssen

• Es ist nur noch eine Benutzerdatenbank nötig, was den Kosten- und Zeitaufwand für die Benutzerverwaltung reduziert

• Ebenfalls wird die Datenhaltung dadurch konsistenter, da Änderungen an den Benutzerdaten nicht mehr in mehreren Datenbanken vorgenommen werden müssen

–  –  –

Demgegenüber stehen folgende Nachteile [Rum06]:

• Falls die Zugangsdaten bei der Übertragung zur AA ausgespäht werden, hat der Angreifer Zugriff auf alle SAs, für die der Benutzer über die AA authentifiziert wird

• Die AA stellt einen „Single-Point-Of-Failure“ dar, denn wenn der Authentifizierungsmechanismus versagt, wird dem Benutzer der Zugriff auf alle teilnehmenden SAs verweigert Diese beiden Punkte könnte man allerdings teilweise umgehen. Der „Single-Point-OfFailure“ ließe sich beheben, indem jeder Service-Anbieter neben der SSO-Anmeldung noch eine alternative, „klassische“ Anmeldung zur Verfügung stellt. Allerdings müsste dann doch wieder pro SA eine eigene Benutzerdatenbank verwaltet werden.

Darüberhinaus muss die Authentifizierungs-Autorität gewährleisten, dass die Übertragung der Anmeldedaten des Benutzers so sicher wie möglich ist, zum Beispiel indem Tokens mit einer Gültigkeit versehen werden, damit sie nicht missbraucht werden können, falls es einem Angreifer gelingt ein Token abzufangen [Rum06]. Oder es wird mit geeigneten Kryptographie-Verfahren (siehe Abschnitt 2.1) verhindert, dass ein Angreifer überhaupt die Möglichkeit bekommt, ein Token abzufangen.

Grundvoraussetzung dafür, dass der Einsatz von SSO überhaupt Sinn macht, ist, dass es mehr als einen SA gibt, der an der SSO-Infrastruktur teilnimmt. Normalerweise ist diese Voraussetzung aber an Universitäten und in Unternehmen erfüllt.

Abschließend lässt sich sagen, dass die Vorteile in den meisten Fällen die Nachteile überwiegen. Um allerdings endgültig die Vorteilhaftigkeit von SSO beurteilen zu können, sollte zunächst eine Übersicht über die wichtigsten SSO-Anbieter verschafft werden, gefolgt von einer Evaluation.

2.3 SSO-Anbieter 2.3.1 Shibboleth Shibboleth ist ein Projekt der Internet2-Middleware Initiative mit dem Ziel, eine OpenSource Software zur Verfügung zu stellen, welche den Zugriff auf Web-Ressourcen vereinheitlicht [Shi07]. Es wurde an der Pennsylvania State University (hauptsächlich für den universitären Kontext) entwickelt. Es basiert auf der „Security Assertion Markup Language“ (SAML) welche ein XML-basiertes Framework zur technischen Realisierung von Authentifizierungs-und Berechtigungsverfahren ist [OAS07].

Im Zentrum der Shibboleth-Architektur steht der Austausch von SAML-Aussagen mithilfe des SOAP-Netzwerkprotokolls [W3C07]. Diese Aussagen beinhalten allgemeine Informationen über den Benutzer (wie z.B. ob die Authentifizierung erfolgreich war oder welche speziellen Zugriffsrechte der Benutzer hat) sowie über die Attribute die der Benutzer besitzt [CDS05]. Eine SAML-Aussage welches ein Attribut eines Benutzers weiterleitet hätte z.B. die Form samlp:AttributeStatement einAttribut/samlp:AttributeStatement. Im Kontext von Shibboleth werden Attribute als Eigenschaften des Benutzers verstanden, die mit beliebigem Inhalt, wie z.B. Zugriffsrechten oder Wohnort, gefüllt werden und somit dem SA zur Verfügung gestellt werden können. Damit lässt sich mit ihnen auch die BenutzerAutorisierung (siehe Abschnitt 2.1) realisieren, indem bei der Anmeldung ein Attribut weitergeleitet wird, welches die Rollenbezeichnung beinhaltet (z.B. „Admin“ oder „Student“). Ob und welche Attribute weitergeleitet werden, entscheidet die AA. Da nur Aussagen und keine konkreten Benutzerdaten ausgetauscht werden, kann man hier von einem token-basierten SSO-Mechanismus sprechen, wobei ein so genannter Sicherheitskontext ein Token repräsentiert. Ein Sicherheitskontext ist ein SAMLKonstrukt, welches dem SA garantiert, dass der Benutzer derjenige ist, für den er sich ausgibt, und dementsprechende Zugriffsrechte besitzt.



Pages:   || 2 | 3 | 4 |


Similar works:

«UNITED STATES OF AMERICA BEFORE THE BOARD OF GOVERNORS OF THE FEDERAL RESERVE SYSTEM WASHINGTON, D.C. STATE OF MISSOURI MISSOURI DIVISION OF FINANCE JEFFERSON CITY, MISSOURI Written Agreement by and among MID AMERICA BANK AND TRUST COMPANY Docket No. 07-009-WA/RB-SM Dixon, Missouri FEDERAL RESERVE BANK OF ST. LOUIS St. Louis, Missouri and MISSOURI DIVISION OF FINANCE Jefferson City, Missouri WHEREAS, in recognition of their common goal to restore and maintain the financial soundness of Mid...»

«THE ASSOCIATION OF THE BAR OF THE CITY OF NEW YORK COMMITTEE ON PROFESSIONAL ETHICS Formal Opinion 2014-2: USE OF A VIRTUAL LAW OFFICE BY NEW YORK ATTORNEYS TOPIC: Use of virtual law office as a principal law office address in advertising and on business cards, letterhead and website DIGEST: A New York lawyer may use the street address of a virtual law office (“VLO”) located in New York state as the “principal law office address” for the purposes of Rule 7.1(h) of the New York Rules of...»

«The Ohio State Board of Cosmetology 1929 Gateway Circle Grove City, Ohio 43123 Phone: (614) 466-3834 www.cos.ohio.gov TANNING FACILITY PERMIT APPLICATION If a Tanning Facility has an existing disciplinary action, a change of ownership or name change cannot take place until the action has been closed. You may contact the Board office to verify the status of a license. If establishing a tanning facility within a salon a separate application and fee is required. Upon receipt and approval of the...»

«Political Economies of the Aegean Bronze Age Papers from the Langford Conference, Florida State University, Tallahassee, 22–24 February 2007 Edited by Daniel J. Pullen Oxbow Books Oxford and Oakville Published by Oxbow Books, Oxford, UK © Oxbow Books and the individual authors, 2010 ISBN 978-1-84217-392-3 Cover images: Late Helladic III stirrup jar from Knossos, Image © Trustees of the British Museum. Obsidian blade segments from Korphos-Kalamainos, Image © SHARP. Late Helladic III stirrup...»

«Expedition to Blue Cave (Outriders, #1) Ed Decter The Outriders set their minds on an day trip to Blue Cave. It in simple terms glows blue as soon as each seven years, and they are decided to work out it whereas they can. What they did not discount for used to be discovering robbers at Blue Cave, hiding their hoard from a contemporary theft. abruptly the excursion will get lots extra exciting. Reviewed via Grandma Bev for TeensReadToo.comBlue Cave Expedition to Blue Cave (Outriders, #1)...»

«International Research Journal of Applied and Basic Sciences © 2013 Available online at www.irjabs.com ISSN 2251-838X / Vol, 5 (9): 1133-1139 Science Explorer Publications Applying Information Gap theory mathematical model in optimizing portfolio Moona Ghahraman1, Maryam Khalili Araghi2 1. Department of Business Management, Science and Research Branch, Islamic Azad University, Tehran, Iran 2. Department of Business Management, Science and Research Branch, Islamic Azad University, Tehran, Iran...»

«Model Alternatives Assessment NOT A VALID REGULATORY NOTIFICATION FOR DEMONSTRATION PURPOSES ONLY DO NOT CITE OR QUOTE PRELIMINARY ALTERNATIVES ASSESSMENT Nonylphenol Ethoxylates (NPE) in All-Purpose Cleaners As Required under Division 4.5, Title 22, California Code of Regulations Chapter 55. Safer Consumer Products February 11, 2014 PREFACE One of the environmental challenges facing industry is the reduction of substances (or chemicals) of concern in products, and at the same time responsibly...»

«APPROVED BOARD OF FINANCE Minutes March 14, 2013 CALL TO ORDER Chairman Hammers called the Board of Finance meeting to order at 7:05 p.m. at the Town Hall, Trumbull, Connecticut. All those present joined in the Pledge of Allegiance.PUBLIC COMMENT Cindy Katske 129 Meadow View Drive Feels that there was a lack of transparency regarding: • Decision to separate the sewer related costs from the non-sewer related costs. Wants to know where it is documented. • WPCA decision to spend a large...»

«Neuroeconomics of Asset-Price Bubbles: Toward the Prediction and Prevention of Major Bubbles John L. Haracz* Goldman School of Public Policy, UC Berkeley and Department of Psychological and Brain Sciences, Indiana University jharacz@berkeley.edu and Daniel J. Acland Goldman School of Public Policy, UC Berkeley acland@berkeley.edu Goldman School of Public Policy Working Paper January 16, 2015 Abstract Asset-price bubbles challenge the explanatory and predictive power of standard economic theory,...»

«VV Publication 2002:136E Road pricing in urban areas Titel: Road pricing in urban areas Författare: Jonas Eliasson och Mattias Lundberg, Transek AB Dokumentbeteckning: Publikation 2002:136 E Utgivningsdatum: 2003-01 ISSN: 1401-9612 Distributör: Vägverket, Butiken, 781 87 Borlänge. Telefon 0243-755 00, fax 755 50, e-post: vagverket.butiken@vv.se Road pricing in urban areas T&E Preface Road pricing has been promoted by transport economists for decades as a means of solving congestion problems...»

«“National Energy Futures Analysis and Energy Security Perspectives in the Russian Far East” Victor D. Kalashnikov Khabarovsk Economic Research Institute Far Eastern Branch of Russian Academy of Sciences Paper Prepared for The East Asia Energy Futures Project TABLE OF CONTENTS 1 I Introduction 2 II The Present-day Trends III Institutions involved in the analysis of energy futures in the 4 Russian Far East 5 IV Energy Security Option in Russia and in the Russian Far East V Comparative...»

«Job Title: ICT Strategic Product Manager for ANALYTICS FINANCE (Job stage 7) Requisition ID 77016 Posted 05/12/2015 89 IT Regular (Sweden) (Stockholm) Stockholm) Ericsson Overview Ericsson is a world-leading provider of telecommunications equipment & services to mobile & fixed network operators. Over 1,000 networks in more than 180 countries use Ericsson equipment, & more than 40 percent of the world's mobile traffic passes through Ericsson networks. Using innovation to empower people, business...»





 
<<  HOME   |    CONTACTS
2017 www.abstract.dislib.info - Abstracts, online materials

Materials of this site are available for review, all rights belong to their respective owners.
If you do not agree with the fact that your material is placed on this site, please, email us, we will within 1-2 business days delete him.