Géant-TrustBroker

EU-gefördertes Projekt Géant-TrustBroker, ein neuer Ansatz für Inter-FIM, der aktuell im europäischen Forschungsnetzverbund GÉANT entsteht und weite Teile der Skalierbarkeits- und Effizienzproblematik in Inter-Föderationen lösen soll.

Inter-Federation Identity Management

Wissenschaftler nutzen für ihre Forschung heutzutage Ressourcen, die durch verschiedene Rechenzentren verteilt bereitgestellt werden. Explizit zugewiesene Kontingente an Rechenkapazität erlauben Berechnungen auf Basis ebenfalls verteilt abgelegter Daten. Damit diese Dienste jedoch ein hohes Maß an Benutzerfreundlichkeit aufweisen, schließen sich die beteiligten wissenschaftsnahen Einrichtungen, Dienstleister aus dem Hochschulumfeld oder auch privatwirtschaftliche Partnerunternehmen zu sogenannten Föderationen zusammen. Technische Grundlage, insbesondere zur Authentifizierung und Autorisierung (AuthNZ) eines Nutzers, bildet das Federated Identity Management (FIM), bei dem jedem Nutzer mindestens eine Heimatorganisation (Identity Provider (IDP)) zugeordnet ist. Darüberhinaus werden vielfach Dienste auch auf Internationaler Ebene Nutzern verschiedenster Föderationen angeboten, was äquivalente föderationsübergreifende AuthNZ-Mechanismen (Inter-FIM) voraussetzt. Ein bekanntes Beispiel hierfür ist der innerhalb des europäischen GÉANT-Projektes zur Verfügung gestellte Service eduGAIN.

Um den dort erforderlichen Austausch sensibler Identitätsdaten zwischen einem Service Provider (SP), dessen Dienst ein Nutzer anfrägt, und dem Identity Provider dieses Nutzers möglichst sicher zu gestalten, sind neben vertraglichen Regelungen auch technische Vertrauensverhältnisse aufzubauen. Dazu zählen neben dem Austausch sogenannter Metadaten-Informationen (z.B. URLs beteiligter Systeme, Server-Zertifikate, ...), die zum Schutz der Nutzerdaten verwendet werden auch die Festlegung, welche Nutzerattributsdaten, z.B. E-Mail-Adresse, Addresse der Heimateinrichtung, Projektkennzeichen für Abrechnungszwecke für die Dienstnutzung notwendig sind.

Was ist GÉANT-TrustBroker?

GÉANT-TrustBroker (GNTB) ist ein neuartiger Ansatz für Inter-FIM, der aktuell entwickelt wird und weite Teile der in der Praxis anzutreffenden Skalierbarkeits- und Effizienzproblematik beim Aufbau technischer Vertrauensverhältnisse lösen soll.

Diese Probleme bestehen weitestgehend darin, dass Metadaten und Attributsschemata allen im Inter-FIM-Verbund angeschlossenen Providern untereinander bekannt gemacht werden müssen. Pragmatische Lösung versprechen u.a. die Gründung eigener Föderationen, der Betrieb spezieller Identity Provider, die Verwendung unterschiedlicher, föderationsspezfischer Zugangsdaten oder auch die Aggregation und föderationsübergreifende Verteilung durch sogenannte Metadata-Services (MDS), was neben dem massiven manuellen Aufwand für die Administratoren insbesondere auch mit Wartezeit für den Nutzer verbunden ist (s. linke Abbildung).

GÉANT-TrustBroker soll, initiiert durch den Nutzer selbst, den Austausch aller benötigten Informationen und die Erstellung der Konfiguration, insbesondere auf Seite des Identity Providers, erlauben und weitestgehend automatisieren. Als weitere Kernfunktionalität bietet TrustBroker ein Smart-Rule-Repository zur Konvertierung von Benutzer-Attributen, falls der angefragte SP ein anderes Schema verwenden oder spezielle Attributsformatierungen erfordern sollte. Das zentral bereitgestellte Regel-Repository erlaubt desweiteren anderen Identity Providern, etwa innerhalb einer gemeinsamen Föderation die einfache Wiederverwendung von Konvertierungsregeln und beschleunigt den Nutzerzugang nochmals. Zielsetzung bei der Entwicklung ist die Erweiterung bereits existierender Workflows und Protokolle, sowie deren Standardisierung durch internationale Gremien wie IETF.

Motivation Ziel

Resultate von GNTB

Während des OpenCall-Projektes wurden folgende Dinge erreicht:

  • Design des zentralen GNTB-Services
  • Implementierung
    • des zentralen GNTB-Services, basieriend auf bewährter Software
    • der Erweiterungen für IDP und SP, um mit dem zentralen Service zu kommunizieren und die Konfiguration zu automatisieren
    • der Erweiterung des Embedded Discovery Service für SPs, damit Nutzer, deren IDP dem SP nicht bekannt ist, die Dienstnutzung anstoßen können
  • Testbed mit Demonstrator
  • Design des Protokolls, welches benötigt wird, um den Metadatenaustausch auszulösen
  • Internet-Draft (I-D) des Protokolls DAME (Dynamic Automated Metadata Exchange) an die IETF
  • Präsentation der Ergebnisse auf diversen Konferenzen, z.B. TNC 2014, IFIP SEC 2014, IARIA INFOCOMP 2014 und EUNIS 2014
  • Präsentation und Diskussion des I-Ds mit diversen Gruppen der IETF beim 90. Meeting und auf einem europaweitem Workshop

GNTB in GN4 Phase 1

GÉANT-TrustBroker wird in GN4 Phase 1 als eigenständiger Task in der Joint Research Activity (JRA) 3 Identity Management unter Leitung von Daniela Pöhn geführt. In dieser Projektphase geht es darum aus dem Demonstrator einen lauffähigen Dienst für den Pilotbetrieb zu erstellen. Zugleich soll der I-D verbessert werden, um eine Standardisierung durch die IETF zu ermöglichen.

Weitere Informationen

Géant-TrustBroker wird am Leibniz Rechenzentrum im Auftrag von Géant entwickelt.

Das Entwicklerteam besteht aus:

  • Daniela Pöhn
  • Stefan Metzger
  • Michael Grabatin

Sie können das Géant-TrustBroker-Team unter der gemeinsamen E-Mail Adresse geant-trustbroker@lists.lrz.de erreichen.

Weitere Informationen zum Projekt finden Sie auf unserer GÉANT-Homepage.

Information in English

** The research leading to these results has received funding from the European Community’s Seventh Framework Programme under grant agreement no 605243 (GÉANT). **

Information in English can be found in this presentation. You can also contact us: geant-trustbroker@lists.lrz.de