DFN-AAI

Der DFN (Deutsches Forschungsnetz e.V.) bietet den Dienst DFN-AAI an. AAI steht für Authentifizierungs- und Autorisierungs-Infrastruktur. Diese Infrastruktur wird mit dem Produkt Shibboleth (siehe Einführung in Shibboleth), das auch international eine hohe Verwendung aufweist.

Mit Hilfe von DFN-AAI wird für die wissenschaftlichen Einrichtungen in Deutschland der Zugang zu geschützten Ressourcen ermöglicht. Bei den Ressourcen handelt es sich beispielsweise um Online-Zeitschriften, Online-Recherchedatenbanken, E-Learningsysteme sowie Download-Server für Software von Firmen wie Microsoft und Autocad. Die genannten Beispiele zeigen, dass zunächst Webanwendungen fokussiert werden.

Das folgende Beispiel skizziert ein mögliches Szenario im föderativen Verbund der DFN-Mitglieder.

Beispiel:
Ein Mitarbeiter der Universität zu Köln möchte auf eine Online-Datenbank mit Zeitschriften zugreifen, die an der Freien Universität Berlin angeboten wird. Bei der Online-Datenbank handelt es sich um ein Produkt eines Verlags. In der Lizenz wurde vereinbart, dass nur Mitarbeiter deutscher Hochschulen dieses Produkt nutzen dürfen. Die Online-Datenbank wird durch einen Shibboleth Service Provider geschützt. Der Mitarbeiter der Universität zu Köln, der nun die Ressource aufruft, muss zunächst authentifiziert werden. Durch den Aufruf eines Links auf der Anmeldeseite teilt er mit, dass er nicht Mitglied der Freien Universität Berlin ist. Der Mitarbeiter gelangt zum WAYF Service des DFN. Dort gibt er an, dass die Universität zu Köln seine Heimathochschule ist. Daraufhin wird der Mitarbeiter zum Identity Provider der Universität zu Köln weitervermittelt. Nach erfolgreicher Authentifizierung mit Benutzernamen und Passwort wird der Mitarbeiter automatisch mit einer Authentication Assertion zum Service Provider für die Online-Datenbank zurückgeleitet. Der Service Provider prüft die Gültigkeit der Authentication Assertion gegen den Identity Provider der Universität zu Köln. Nach der Bestätigung der Authentifizierung fragt der Service Provider den Identity Provider nach weiteren Attributen zu dieser Person. Insbesondere wird gefragt, ob die Person Mitarbeiter ist. Nach der Bestätigung des Mitarbeiterstatus erhält der Mitarbeiter der Universität zu Köln Zugriff auf die Online-Datenbank.

Das Beispiel zeigt vereinfacht eine mögliche Interaktion zwischen den Shibboleth-Komponenten (siehe Einführung in Shibboleth) innerhalb der Authentifizierungs- und Autorisierungs-Infrastruktur des DFN.

Der DFN verwaltet für die wissenschaftlichen Einrichtungen in Deutschland die Metadaten, die jeder Teilnehmer übernehmen muss. Des Weiteren betreibt der DFN einen WAYF Service. Neben der genannten technischen Unterstützung schafft der DFN auch den notwendigen organisatorischen Rahmen. Hierzu gehören das Erstellen von Richtlinien für die Mitgliedschaft, Vertragsgestaltung und –abschluss sowie Schulungen. Die Lizenzverträge zwischen der jeweiligen wissenschaftlichen Einrichtung und den Anbietern werden entweder über Konsortien oder bilateral geschlossen. Einen sowohl organisatorischen als auch technischen Rahmen schafft der DFN durch eine Vorgabe von Attributen und erlaubten Attributwerten, die zwischen den Teilnehmern über die Shibboleth Infrastruktur ausgetauscht werden können. Die Liste der vom DFN vorgegebenen Attribute kann [1] entnommen werden.