Správa vzdáleného přístupu k elektronickým informačním zdrojům

1,664 views
1,559 views

Published on

Praktické představení technologií pro vzdálený přístup k elektronickým zdrojům v knihovnách

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,664
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Správa vzdáleného přístupu k elektronickým informačním zdrojům

  1. 1. Správa vzdáleného přístupu k elektronickým informačním zdrojům Česká zemědělská univerzita v Praze, 24.2.2008 Ing. Jiří Pavlík Univerzita Karlova v Praze, Ústav výpočetní techniky Cesnet
  2. 2. Program • Jemný úvod ke vzdálenému přístupu k el. zdrojům • Stávající řešení • Shibboleth • Shrnutí a diskuze
  3. 3. Jemný úvod • Prostředí pro výuku • Úvod do problematiky
  4. 4. Prostředí pro výuku • El. časopisy, el. knihy • E-learningové kurzy • Dostupné rychlé internetové připojení • Dostupné počítače + netbooky, smartphones • Internetová gramotnost studentů a pedagogů
  5. 5. Úvod do problematiky • Optimální vzdálený přístup? • rozpozvávání afiliací k instituci • aktuální, platné role v instituci • multiinstitucionální • Single-sign-on • žádné pluginy, žádné extra nastavení pro uživatele, žádné extra adresy
  6. 6. Úvod do problematiky • Optimální vzdálený přístup? • jakýkoli prohlížeč, jakékoli zařízení • bezpečné • ochrana osobních údajů • škálovatelné • založené na otevřených mezinárodních standardech
  7. 7. Úvod do problematiky • Optimální vzdálený přístup? • intuitivní, samonaváděcí pro uživatele • dobře spravovatelné pro správce • rychle nasaditelné, dostupné • podporované - vývoj, technická podpora • monitoring, statistiky
  8. 8. Stávající řešení • Používané typy autentikace a autorizace • Příklady systémů • Vlastnosti, omezení • bez Shibboleth
  9. 9. Autentikace a autorizace • IP adresa proxy serveru • institucionální jméno a heslo, ev. jen heslo • kombinace IP adresa a jména s heslem • osobní jméno a heslo • proprietární skript (JSTOR)
  10. 10. Systémy • rewrite proxy • HTTP proxy • VPN • ssh tunel • portály • terminál servery
  11. 11. Rewrite proxy + levné, statistiky - rozlišování skupin, speciální odkazy, nároky na správu • EZ Proxy
  12. 12. HTTP proxy + levné, nároky na správu, žádné úpravy v odkazech na stránkách, nároky na správu - rozlišování skupin, uživatelský komfort, statistiky • Squid
  13. 13. VPN + nároky na správu, žádné úpravy v odkazech na stránkách - rozlišování skupin, autentikace na jméno a heslo, statistiky • open source, Microsoft, CISCO
  14. 14. Ssh tunel + nároky na správu, žádné úpravy v odkazech na stránkách - uživatelský komfort, rozlišování skupin, statistiky • unix server / ssh klient zařízení uživatele
  15. 15. Portálové systémy + uživatelský komfort, statistiky - cena, nároky na správu, úpravy v odkazech • Onelog, Netman
  16. 16. Terminal server + nároky na správu, žádné úpravy v odkazech, podpora newebových klientů - uživatelský komfort, statistiky • Windows server, Mac OS X server
  17. 17. Nejblíže ideálu? • EZproxy • 2600+ instutucí v 60+ zemích • UK, STK, VKOL, VŠE, NFÚ, ... • 30 denní free trial, 495 USD • implementace na klíč • vzdálená správa, hosting, školení, konzultace
  18. 18. Nejblíže ideálu? • EZproxy • vývoj, technická podpora OCLC • žádné plugins pro uživatele • provoz na portu 80 • podpora LDAP • Windows, Linux, Solaris
  19. 19. Nejblíže ideálu? • EZproxy • podpora Shibboleth
  20. 20. Nejblíže ideálu? • EZproxy - omezení • nároky na implementaci a správu • linkování • speciální linky pro uživatele
  21. 21. Shibboleth • Základní představení • Technologie na pozadí • Federace • Implementace Shibboleth v zahraničí • Implementace Shibboleth v ČR
  22. 22. Shibboleth • Podpora Shibboleth u databázových center • Podpora Shibboleth u aplikací • Shibboleth u produktů Ex Libris
  23. 23. Shibboleth • Technické podrobnosti • IdP - instalace • SP - instalace, shibbolethizace • LDAP schema, atributy • SAML protokol
  24. 24. Shibboleth • Užitečné odkazy • Kontakty • Doporučení, příprava pro Shibboleth • Shibboleth pro ČR 2009 - 2012 • Otázky, diskuze
  25. 25. Základní představení "The Gileadites captured the fords of the Jordan leading to Ephraim, and whenever a survivour of Ephraim said, "Let me go over," the men of Gilead asked him, "Are you an Ephraimite?" If he replied, "No," they said, "All right, say 'Shibboleth'." If he said, "Sibboleth," because he could not pronounce the word correctly, they seized him and killed him at the fords of the Jordan. Forty-two thousand Ephraimites were killed at that time." (Judges 12:5-6, NIV) http://en.wikipedia.org/wiki/Shibboleth
  26. 26. Základní představení Shibboleth is an Internet2 Middleware Initiative project that has created an architecture and open-source implementation for federated identity-based authentication and authorization infrastructure based on SAML. Federated identity allows for information about users in one security domain to be provided to other organizations in a common federation. This allows for cross- domain single sign-on and removes the need for content providers to maintain usernames and passwords. Identity providers (IdP's) supply user information, while service providers (SP's) consume this information and gate access to secure content. http://en.wikipedia.org/wiki/Shibboleth_(Internet2)
  27. 27. Základní představení “Because of the barbaric legend, 'Shibboleth' is admirably suited as the name for a system that restricts user rights and free access to information. Whether it is needed by libraries, ordinary citizens or rapacious publishers is quite another matter.” Ari Rouvari, The National Library of Finland, FinELib
  28. 28. Základní představení • Internet 2 projekt [http://www.internet2.edu] • middleware pro federativní autentikaci a autorizaci • freeware, open source • webové Single-Sign-On
  29. 29. Shibboleth in Action! JISC • http://www.jisc.ac.uk/whatwedo/themes/ accessmanagement/federation/animation Internet2 • http://shibboleth.internet2.edu/ • Shibboleth demo (Quicktime Movie) • Shibboleth-enabled collaboration environment (Quicktime Movie)
  30. 30. Komponenty v rámci Shibboleth • Identity Provider • Servis provider • Where Are You From / Discovery Service • Shibboleth federace • nepovinně cookie - kontext WAYF / DS
  31. 31. Schema http://www.switch.ch/aai/demo/
  32. 32. Shrnutí výhod nasazení Shibboleth + open source, volně dostupné + standardní protokoly + podpora Internet2 + úspora nároků na správu
  33. 33. Shrnutí výhod nasazení Shibboleth © SWITCH
  34. 34. Shrnutí výhod nasazení Shibboleth + rozlišování uživatelů podle skupin + vysoká úroveň zabezpečení + webové SSO + komfort uživatelů + lokální i federativní, škálovatelné + ochrana soukromí uživatelů
  35. 35. Výzvy nasazení Shibboleth - shibbolethizace aplikací - standardizace LDAP - organizace federace - závislost na statistikách providerů
  36. 36. Shibboleth v zahraničí • Finsko, Velká Británie, Švýcarsko, USA, Francie, Německo, Dánsko, Čína, Holandsko, Norsko, Belgie, Austrálie, Španělsko, Švédsko • v přípravě: Austrálie, ČR, Slovinsko • eduGAIN, EU konfederace, projekt GÉANT2 • seznam federací • https://spaces.internet2.edu/display/SHIB/ ShibbolethFederations
  37. 37. Finsko • federace HAKA, spravováno CSC, 38 členů • Nelli Portal, FinELib - MetaLib, SFX, EZ Proxy a dalších 52 služeb, e-learning • http://www.csc.fi/english/institutions/haka/ index_html
  38. 38. Velká Británie • UK federation, spravováno JISC a Becta, 629 členů • přechod z Athens, OpenAthens Shibboleth- to-Athens Gateway, el. zdroje a e-learning • http://www.ukfederation.org.uk/
  39. 39. Švýcarsko • federace SWITCHaai, spravována SWITCH, 35 členů • nadstavbové nástroje, školení • e-learningové systémy • http://www.switch.ch/aai/
  40. 40. USA • federace InCommon, 78+5+32 členů, 2.2 milionu koncových uživatelů • el. zdroje a e-learning • http://www.incommonfederation.org/
  41. 41. Shibboleth v ČR • pracovní skupina při CESNET • založena 2005/2006 • czTestFed - testovací federace • eduID - produkční federace, pilotní provoz ve 2008, ostrý provoz od 1.1.2009
  42. 42. Shibboleth v ČR • stránky eduID: • http://www.eduid.cz • aktivita AAI a mobilita • http://www.cesnet.cz/projekt/09
  43. 43. Shibboleth v ČR • stránky eduID: • politika federace eduID • návody a připojení do eduID a czTestFed • návody na instalace IdP a SP
  44. 44. Služby s podporou Shibboleth • db centra • aplikace • Ex Libris knihovní aplikace
  45. 45. Shibboleth u databázových center • Elsevier Science Direct • EBSCO • CSA • Proquest • Thomson Reuters • JSTOR • ...
  46. 46. Shibboleth u aplikací • Ex Libris PDS (Aleph, MetaLib, SFX, DigiTool, Primo) • EZ Proxy • Moodle • Blackboard - WebCT • Fedora, DSpace • TWiki ....
  47. 47. Shibboleth u db center a aplikací • Internet2 adresář • https://spaces.internet2.edu/pages/ viewpage.action?pageId=11484 • JISC adresář • http://access.jiscinvolve.org/federated- access-and-publishers/
  48. 48. Shibboleth u produktů Ex Libris • SFX • podzim 2002 testování • léto 2003 implementace na CDL a NYU • USMAI, Nelli Portalli, Swiss Federal Institute of Technology Zurich
  49. 49. Shibboleth u produktů Ex Libris • Patron Directory Services v1.3 • MetaLib 3.13, Aleph 18.x, DigiTool 3.x, SFX, Primo • Patron Directory Services 1.3.pdf Implementing Shibboleth 1.32 in Ex Libris products • PDS jako WAYF
  50. 50. Shibboleth u produktů Ex Libris • University of Maryland / USMAI • David Kennedy • MetaLib, Aleph • EZproxy, IILiad, EBSCO, • stránky k implemetanci Shibboleth • http://usmai.umd.edu/auth/
  51. 51. Shibboleth u produktů Ex Libris • Univerzita Karlova v Praze • Jiří Pavlík • v přípravě Aleph, DGT, SFX, MetaLib • EZproxy • stránky k Shibboleth na UK • http://kis.is.cuni.cz/KSISENG-9.html
  52. 52. Zajímavé implementace • iTunes University • Microsoft DeramSpark
  53. 53. iTunes University • Apple spustili shibbolethovou autentikaci u iTunes University, což umožní pedagogům vystavovat výukové materiály (videa, zvukové nahrávky, skripta) s autentikací univerzitním účtem a studentům umožní přístup k těmto materiálům opět s autentikací univerzitním účtem. Penn State v roce 2007 v rámci iTunes University vystavili 3 500 podcastů v rámci 300 kurzů. • Podrobnosti: http://www.incommonfederation.org/docs/eg/InC_CaseStudy_iTunes_2008.pdf
  54. 54. Microsoft Spark • Microsoft pro všechny studenty celosvětově nabízí balík DreamSpark -Visual Studio, Expression Studio, Windows Server a xna Game Studio. Autentikace studentů je zajištěna pomocí Shibboleth. • Podrobnosti: http://www.incommonfederation.org/docs/eg/InC_CaseStudy_Dreamspark_2008.pdf
  55. 55. Technické detaily • verze Shibboleth • IdP - instalace, LDAP • SP - shibbolethizace • SAML protokol • eduPerson LDAP schema
  56. 56. Verze Shibboleth • 1.2 a níže - již nepodporované • 1.3 - předešlá stabilní • 2.0 - nahrazená 2.1 • 2.1.2 - aktuální stabilní • 2.x zpětně kompatibilní s 1.3
  57. 57. Identity Provider - IdP verze 2.x • Java aplikace • Java aplikační server např. Apache Tomcat, Servlet 2.4 container • Popis instalace na webu eduID: • http://www.eduid.cz/wiki/cztestfed/howto/ index
  58. 58. Service Provider verze 2.x • Linux, Mac OS X, Solaris 8, Windows 32- bit / 64-bit, C++ zdrojový kód • 6.9.2008 Java verze • Popis instalace na webu eduID: • http://www.eduid.cz/wiki/cztestfed/howto/ index
  59. 59. Otestování • Pro otestování instalace IdP nebo SP k dispozici federace czTestFed • http://www.eduid.cz/wiki/cztestfed/index
  60. 60. SAML protokol • Security Assertions Markup Language • OASIS projekt [http://www.oasis-open.org] • http://www.oasis-open.org/specs/index.php • http://www.xml.com/pub/a/2005/01/12/ saml2.html
  61. 61. eduPerson schema • LDAP schema • popis atributů a hodnot používaných v rámci Shibboleth • http://middleware.internet2.edu/eduperson/ • http://middleware.internet2.edu/dir/schema/
  62. 62. Národní rozšíření eduPerson • FunetEduPerson • http://www.csc.fi/english/institutions/haka/ technology/funeteduperson • SwissEduPerson • http://www.switch.ch/aai/support/ documents/#policies
  63. 63. Užitečné odkazy • Internet 2 Shibboleth • http://shibboleth.internet2.edu/ • Shibboleth Wiki • https://spaces.internet2.edu/display/ SHIB2/Home
  64. 64. Užitečné odkazy • Shibboleth demo • http://www.switch.ch/aai/demo • O Shibboleth na lupa.cz od Pavla Satrapy • http://www.lupa.cz/clanky/shibboleth/
  65. 65. Užitečné odkazy • InCommon and FastLane Demo (58 minuta, 21 minut) • http://events.internet2.edu/2006/fall- mm/netcast-archive.cfm?session=2931
  66. 66. Užitečné odkazy • SWITCHaai - dokumentace, how-tos • http://www.switch.ch/aai/tech/ • http://www.switch.ch/aai/howto/ • http://www.switch.ch/aai/support/ presentations/installfest-2008/ resources.html
  67. 67. Užitečné odkazy • GridShib, Shibboleth v prostředí gridů • http://gridshib.globus.org/ • https://authdev.it.ohio-state.edu/ twiki/bin/view/GridShib/WebHome
  68. 68. Kontakty • CESNET • Milan Sova, sova@cesnet.cz • Univerzita Karlova v Praze, Cesnet • Jiří Pavlík, pavlik@cuni.cz • eduID • http://www.eduid.cz/wiki/eduid/ contact
  69. 69. Události k Shibboleth • semináře řešitelů CESNET • školení CESNET • Internet2 events • http://shibboleth.internet2.edu/ events.html
  70. 70. Shrnutí, diskuze • doporučení • příprava pro Shibboleth • vývoj kolem Shibboleth 2009, 2010 - 2012 • otázky, diskuze
  71. 71. Doporučení • EZproxy • příprava na Shibboleth
  72. 72. Příprava na Shibboleth • Identity management v rámci organizace a bezpečnostní politika • příprava LDAP • instalace IdP, ev. SP • připojení a otestování v rámci czTestFed, připojení do eduID • oslovení Cesnet k podpoře nasazení Shibboleth
  73. 73. Shibboleth 2009 • jaro 2009: • návody na připojení do eduID • anglická verze politiky a návodů • seznamy členů a služeb • aktuality, kalendář akcí
  74. 74. Shibboleth 2009 • jaro 2009: • know-how k shibbolethizaci Ex Libris PDS - SFX, Aleph, MetaLib, DigiTool • know-how k shibbolethizaci Moodle, CaseMed, MefaNet • know-how k shibbolethizaci Portálu el. zdroju MUNI
  75. 75. Shibboleth 2009 • 2009 • připojení EBSCO, JSTOR, Elsevier, Proquest, ... do eduID • shibbolethizace e-learning systémů a spolupráce při tvorbě kurzů
  76. 76. Shibboleth 2009 • 2009 • školení Cesnet k instalaci SP a IdP • grantová podpora Cesnet k nasazení Shibboleth
  77. 77. Shibboleth 2010 - 2012 • přechod na shibbolethovou autentikaci u většiny předpláceného materiálu pro výuku • shibbolethizace služeb na univerzitách • shibbolethizace služeb partnerů
  78. 78. Shibboleth 2010 - 2012 • multiinstitucionální podpora u Shibboleth • interoperabilita se systémy založenými na SAML • podpora Kerberos • Shibboleth session logout
  79. 79. Shibboleth 2010 - 2012 • nové verze Shibboleth od Internet2 • nové nadstavbové nástroje • boom nabídky služeb
  80. 80. Finiš • závěrečné otázky? diskuze • Vaše návrhy pro eduID - dokumentace, podpora, školení,...? • doprovodný materiál
  81. 81. Děkuji za pozornost Jiří Pavlík pavlik@cuni.cz Univerzita Karlova v Praze, Ústav výpočetní techniky Cesnet

×