OpenID Attribute Exchange

Am Beispiel IdM im akademischen Umfeld

Dennis Blöte
IdentityCamp Bremen, 07. Juni 2008

Fragerunde

• Wem sagt Identity Management etwas?
• Wem sagt OpenID etwas?
• Wer hat eine OpenID?
• Wer ist Relying Party?
• Wer ist Identity Provider?

OpenID and me

masquerade

• OpenID-Server (Open Source, Ruby on Rails)
• Identity Provider

Mein Bachelor-Report

• IdM im akademischen Umfeld
• Pilotsystem mit OpenID

Problemstellung

An der Uni gibt es eine Vielzahl verschiedener Benutzerkonten und Anwendungen, auf die der Zugriff separat verwaltet wird:

• WLAN
• Webmail
• StudIP (eLearning)
• Wikis
• …

Motivation

Durch die Einführung von IdM können wir …

• Single-Sign-On implementieren
• Personen ihre Stammdaten selbst pflegen lassen
• Daten weiteren Anwendungen zur Verfügung stellen
  • Situated Software (bspw. Wiki)
  • Nutzung der Identität „nach außen”

Warum verwenden wir OpenID?

• gute Akzeptanz und zunehmende Verbreitung
• benutzerzentriertes Identitätsmanagement
• Relying Party ist einfach zu implementieren
  • Libraries und Referenzimplementierungen für viele Programmiersprachen vorhanden
  • » Situated Software

Identität und Attribute

Die digitale Identität besteht aus allen verfügbaren personenbezogenen Daten, den Attributen.

• Stammdaten (Name, Matrikelnummer, E-Mail, …)
• Eigenschaften (ist Student, nimmt an LV teil, …)
• Rechte und Privilegien, bspw:
  • Zugriff auf Lehrveranstaltungsplaner
  • Zugang zu Lehrmaterialien
  • Vergünstigungen durch Studentenstatus

Austausch der Attribute

OpenID selbst verifiziert nur den URL-Besitz.

Datenaustausch erfolgt über die Protokoll-Erweiterungen:

• SReg - Simple Registration
• AX - Attribute Exchange

SReg - Simple Registration

• Von den meisten Identity Providern unterstützt
• Fixes Set von acht Attributen
  • nickname, email, gender, fullname, country, ...
  • Keine manuelle Erweiterung möglich!
• Theoretisch veraltet, da AX flexibler ist

AX - Attribute Exchange

• Bisher kaum unterstützt
• Namensraum für die Definition von Attributen
• Attribut besteht aus
  • Type Identifier (URL als Definition)
  • Bsp.: http://axschema.org/contact/email
  • Title (Attributbezeichner für den Endnutzer)
  • Count (Anzahl der gewünschten Werte)
  • Value (Wert der Eigenschaft)

AX im praktischen Einsatz

• Voraussetzung: Relying Party und Identity Provider unterstützen das gleiche Set an Attributen
• Einziger Standard bisher: AXSchema.org
• Besondere Anwendungsfälle erfordern eigene Schemata
• Diese im Hinblick auf bestehende Standards definieren!
• » Portabilität (siehe Punkt 1)

Fazit und Ausblick

• OpenID und AX ermöglichen leichtgewichtiges IdM
• AX wird der Standard zum Datenaustausch werden
• Viel Standardisierungsarbeit nötig!
• In der Ferne: AX Store Requests

Weiterführende Links

• Meine Zusammenfassung über AX
• AXSchema.org
• Chris Messina zu Standardisierung
• Tantek Çelik zu Standardisierung

Danke für die Aufmerksamkeit!

Fragen und Anregungen?