SuchenPrintviewID-Home

E-Academia jetzt auch auf dem zentralen Webserver

 

Vor einem Jahr haben wir Ihnen das AAI-Projekt (Authentication and Authorization Infrastructure) vorgestellt, welches universitätsübergreifende Zusammenarbeit und Zugangskontrolle zu elektronischen Dokumenten und e-Learning-Umgebungen ermöglicht. Damals nutzte das Pilotprojekt doit die neu geschaffene Möglichkeit, eine e-Learning-Umgebung nicht nur Medizinstudentinnen der Universität Zürich, sondern auch Medizinstudenten anderer schweizerischer Universitäten zugänglich zu machen. Seit vergangenem Herbst geschieht das Login ins OLAT, dem an der Universität Zürich entwickelten Open Source Learning Management System (LMS), via AAI. Als nächsten Schritt zur universitätsübergreifenden Zusammenarbeit steht den Webmoderatoren auf dem zentralen Webserver der Universität Zürich jetzt die Möglichkeit offen, Dokumente und Verzeichnisse via AAI zu schützen und dadurch definierten Benutzergruppen Zugang zu verschaffen. 

Attribute regeln den Zugang

Im World Wide Web werden die meisten Angebote öffentlich zugänglich gehalten. Daneben gibt es aber eine grosse Anzahl von Dokumenten, die nicht zur Einsicht für jedermann gedacht sind oder gar nur einer definierten Benutzergruppe zugänglich gemacht werden dürfen. Auf dem zentralen Webserver haben die Webmoderatorinnen die Möglichkeit, solche Dokumente durch Passworte zu schützen. Bisher konnten dafür eigene Benutzer mit einem zugehörigen Passwort selbst definiert werden oder UniAccess- und zentral definierten Benutzern Zugang gewährt werden, respektive diese beiden Methoden kombiniert werden (siehe auch unsere Anleitung zu diesen Schutzvorkehrungen). Wollte ein Webmoderator aber einer bestimmten Benutzergruppe, zum Beispiel nur Angehörigen der medizinischen Fakultät, Zugang zu geschützten Dokumenten erlauben, war das nur durch das separate Erfassen jeder einzelnen Benutzerin möglich und somit kaum machbar. AAI kennt aber für alle Benutzer Attribute, wie zum Beispiel die Zugehörigkeit zu einer Fakultät. Diese Attribute sind für alle teilnehmenden Hochschulen und Organisationen standardisiert. Dadurch wird es möglich, zum Beispiel nur Angehörigen aller schweizerischen theologischen Fakultäten Zugang zu bestimmten Dokumenten zu gewähren.

Genau solche Möglichkeiten stehen jetzt auf dem zentralen Webserver der Universität Zürich zur Verfügung. Der Webserver der Universität Zürich ist, im AAI-Jargon ausgedrückt, zu einer AAI-Ressource geworden. Möglicherweise zur potentiell grössten in der Schweiz. 

Wenn ein Webmoderator jetzt zum Beispiel Vorlesungsskripte nur Angehörigen der veterinär-medizinischen Fakultäten zugänglich machen möchte, kann dies universitätsübergreifend geschehen. Auch kann der Zugriff weiter eingeschränkt werden, indem beispielsweise nur Studierenden der eigenen Universität, nicht aber Mitarbeitenden Zugriff gewährt wird. Zugang kann relativ einfach auch ausschliesslich Studierenden der ETH Zürich und der mathematisch-naturwissenschaftlichen Fakultät der Universität Zürich gewährt werden. SWITCH aktualisiert sowohl die Liste der bei AAI teilnehmenden Institutionen als auch die Liste der Attribute, welche für die Zugangskontrolle verwendet werden können.

Ein erstes Beispiel

Wenden wir uns einem konkreten Beispiel zu und beginnen wir mit dem einfachsten Fall. Sie möchten für ein Verzeichnis den Zugang allen Angehörigen der am AAI-Projekt teilnehmenden Organisationen gewähren. Dazu richten Sie auf dem Webserver der Universität Zürich ein Verzeichnis ssl-dir ein, damit die Datenübertragung und somit die Passwortübertragung mit Sicherheit verschlüsselt ist und auch die Zertifikate (dazu mehr weiter unten) richtig eingesetzt werden. In diesem Verzeichnis erstellen Sie, wie von den bisherigen Schutzmechanismen gewohnt, eine Datei mit dem Namen .htaccess und legen in dieser fest, dass die Passwortabfrage mit Hilfe der AAI-Validierung erfolgen muss. Eine solche Datei muss folgenden Inhalt haben:

AuthType shibboleth
ShibRequireSession On
require valid-user
  • Mit der AuthType-Instruktion shibboleth wird verlangt, dass die AAI-Validierung via Shibboleth (Shibboleth ist die für die Validierung eingesetzte Software) benutzt wird.
  • Es wird mit der nächsten Instruktion (ShibRequireSession On) verlangt, dass der Zugang nur mit einer gültigen Shibboleth-Session erlaubt ist und
  • mit der letzten Instruktion (require valid-user) wird verlangt, dass nur Benutzerinnen Zugang erhalten, welche sich erfolgreich authentifiziert haben.

Bei der Auswahl oder Eingabe einer auf diese Weise geschützten WWW-Adresse wird der Browser zum so genannten Where Are You From Server bei SWITCH umgeleitet. Auf diesem Server wählt der Benutzer aus, zu welcher Organisation er gehört und wird dann auf den Authentifizierungs-Server seiner Organisation umgeleitet. Auf dem Validierungs-Server der so genannten Home-Organisation können die Benutzer sich einloggen (im Falle der Universität Zürich mit dem UniAccess-Login) und erhalten nach erfolgreichem Login Zugang zur ursprünglich angewählten Adresse und werden auf diese direkt weitergeleitet.

Umgang mit Zertifikaten

Bevor Sie jetzt unser erstes Beispiel durchspielen, ist ein kleiner Exkurs über Zertifikate notwendig. Mit Zertifikaten werden Websites gesichert, sobald verschlüsselte Verbindungen aufgebaut werden. Dadurch kann der Benutzer verifizieren, dass er tatsächlich die richtige Website angewählt hat. Zertifikate werden von Zertifizierungsstellen ausgestellt, welche teilweise in den Browsern eingebaut sind. Ein von einer solchen Zertifizierungsstelle ausgestelltes Zertifikat kosten pro Server ca. 300 Euro im Jahr. Im AAI-Projekt werden Zertifikate einer Zertifizierungsbehörde verwendet, welche in den Browsern noch nicht eingebaut ist (der Einbau sollte per Ende 2005 erfolgen). Deshalb werden Sie, falls Sie das AAI-Root-Zertifikat in Ihrem Browser noch nicht eingebaut haben, eine Warnung erhalten, dass das verwendete Zertifikat unerkannt ist. Eine Meldung, auf die Sie sicherlich schon bei OLAT oder Webmail gestossen sind.

Unbekanntes Zertifikat
Unbekanntes Zertifikat - Hinweis bei Safari mit Mac OS X
 

Je nach Browser sieht diese Warnung unterschiedlich aus. Die zur Verfügung stehenden Optionen sind ebenfalls browserabhängig. Während Sie mit Firefox/Mozilla ein solches Zertifikat permanent akzeptieren und danach weiterfahren können, muss diese Meldung beim Internet-Explorer jedes Mal quittiert werden, wenn eine mit einem unbekannten Zertifkat geschützte Site angewählt wird. Deshalb empfehlen wir Ihnen den Einbau des fehlenden Root-Zertifikates in Ihren Browser (Anleitungen dazu für die unterstützten Browser finden Sie bei SWITCH). Bei dieser Gelegenheit empfehlen wir Ihnen auch, das Server-Root-Zertifikat der Universität Zürich in Ihre Browser einzubauen (Anleitung). Nach dem Einbau der Root-Zertifikate in Ihre Browser müssen Sie nicht jedes Zertifikat einzeln akzeptieren, sondern sehen keine entsprechende Warnung mehr.

Die Universität Zürich verwendet für Ihre eigenen Angebote, so auch für unser Webmail, generell nur AAI- oder selbst ausgestellte Zertifikate und wird keine weiteren kommerziellen Zertifikate einsetzen.

Das Beispiel erleben

Jetzt aber zu unserem Beispiel. Unter https://www.unizh.ch/id/cl/dl/web/ssl-dir/aai/index.html können Sie versuchen, eine via AAI-geschützte Ressource anzuwählen. Gelingt Ihnen das mit Ihrem UniAccess-Login (für Leser anderer Hochschulen mit Ihrem entsprechende Hochschulaccount), sehen Sie anschliessend nebst dem verwendeten .htaccess-File auch die Attribute (AAI-Attribute beginnen mit HTTP_SHIB_), die an den Server übermittelt wurden. Diese Attribute können jetzt verwendet werden, um den Zugang weiter einzuschränken. Eine aufbereitete Darstellung Ihrer eigenen Attribute erhalten Sie nach dem Login auf der Demo-Site bei SWITCH.

Bei unserem ersten Beispiel war einzige Bedingung für den Zugang, dass sich ein Benutzer oder eine Benutzerin als Angehörige einer am AAI-Projekt teilnehmenden Organisation ausweisen konnte. Die Instruktion require valid-user stellt dies sicher. Wenn Sie jetzt den Zugang auf Angehörige schweizerischer Universitäten (die ETH Zürich und die EPF Lausanne gelten in diesem Zusammenhang als Universitäten) einschränken und Angehörigen von Fachhochschulen und übrigen am Projekt teilnehmenden Organisationen verwehren wollen, muss Ihre Datei .htaccess wie folgt aussehen:

AuthType shibboleth
ShibRequireSession On
ShibRequireAll On
require valid-user
require homeOrganizationType university

Verglichen mit dem ersten Beispiel wurde hier ergänzt, dass

  • alle Anforderungen erfüllt sein müssen (ShibRequireAll On) und
  • die Home-Organisation eine Universität sein muss (require homeOrganizationType university)

Ein mit obigem .htaccess geschütztes Verzeichnis können Sie ausprobieren. Wollen Sie statt Angehörige aller Universitäten nur Angehörige der Universität Zürich zulassen, ersetzen Sie im obigen Beispiel  require homeOrganizationType university durch
require homeOrganization ~ ^unizh.ch$

Gemäss diesem Beispiel haben zu einem so geschützten Angebot ausschliesslich Angehörige der Universität Zürich Zugang. Alle anderen erhalten folgende Fehlermeldung:

Based on the information provided to this application about you, you are not authorized to access the resource at "https://www.unizh.ch/id/cl/dl/web/ssl-dir/aai-uzh/"

Es stehen den Webmoderatorinnen anhand der AAI-Attribute somit vielfältige neue Möglichkeiten zur Verfügung, eigene Angebote nur unter bestimmten Bedingungen zugänglich zu machen.

Wir pflegen auf der Webmoderatoren-Seite Beispiele, wie Ihre Ressourcen geschützt werden können und freuen uns auch von Ihnen zu hören, wie Sie Ihre Angebote erfolgreich mit Hilfe von AAI mit definierte Zugriffsrechten geschützt haben. Bei Fragen, Anregungen oder Problem in Bezug auf AAI wenden Sie sich bitte an aaiadm@id.unizh.ch.

Roberto Mazzoni & David Meier