Sicher FAIR – der NFDI-Basisdienst IAM

20.11.2023

Als erster Basisdienst in der Nationalen Forschungsdateninfrastruktur NFDI geht der Dienst Identity and Access Management (IAM) an den Start. Hierbei geht es um die Implementierung technischer und organisatorischer Lösungen, die ein dezentrales und föderiertes Identitätsmanagement für einen Community-gesteuerten, einheitlichen und sicheren Zugriff auf digitale Ressourcen ermöglichen. Durch die Integration in die DFN-AAI können nicht nur 400 an der DFN-AAI teilnehmende Heimateinrichtungen partizipieren, sondern über eduGAIN potenziell auch Nutzende aus weiteren rund 5000 Hochschulen und Forschungseinrichtungen weltweit.

Im Rahmen der Nationalen Forschungsdateninfrastruktur (NFDI) werden aktuell 26 Fachkonsortien sowie der Verbund der Fachkonsortien Base4NFDI, Basisdienste für NFDI, gefördert. Ziele der NFDI sind es, das Management von Forschungsdaten zu fördern und gemäß den Anforderungen der über die Fachkonsortien repräsentierten Communities weiterzuentwickeln. Wichtige Aspekte sind dabei dauerhafte Verfügbarkeit, Adressierbarkeit, semantische Erschließung, Verknüpfung und Nachnutzbarkeit von Forschungsdaten sowie damit einhergehende Möglichkeiten zur Bearbeitung interdisziplinärer Fragestellungen.

Schon früh hat sich gezeigt, dass unabhängig von der jeweiligen Fachdisziplin bestimmte Grundfunktionalitäten benötigt werden, um Forschungsdatenmanagement insbesondere gemäß der FAIR-Prinzipien betreiben zu können. „FAIR“ steht in diesem Zusammenhang für „Findable“, „Accessible“, „Interoperable“ und „Reusable“. Forschungsdaten sollten also auffindbar, zugänglich, interoperabel und wiederverwendbar sein

Der über Base4NFDI geförderte Basisdienst Identity and Access Management (IAM) zielt darauf ab, technische und organisatorische Rahmenbedingungen zu schaffen, um Forschungsdaten und die zu deren Management benötigten Dienste langfristig und nachhaltig „accessible“ zu gestalten. Außerdem müssen Interoperabilität sowie Anschlussfähigkeit an andere Infrastrukturen wie die European Open Science Cloud (EOSC) gewährleistet sein. Als Basis hierfür dient eine
Authentifizierungs- und Autorisierungsinfrastruktur (AAI). Wie sich die Integration in die DFN-AAI darstellt, wird im Folgenden beschrieben.

Entsprechend dem festgelegten Verfahren für Basisdienste wird derzeit die Initialisierungsphase über Base4NFDI gefördert. Die weiteren Phasen zur Integration und Überführung in den Produktivbetrieb werden zu späteren Zeitpunkten separat behandelt. Dieser Beitrag beschreibt das „große Bild“ ohne Bezug zu einzelnen Förderphasen.

Community-AAI

Die Lösung, sämtliche digitalen Ressourcen der NFDI zu föderieren, indem sie einzeln als Serviceprovider in der DFN-AAI verfügbar gemacht werden, ist nicht zielführend. Aufgrund der Rahmenbedingungen, die seitens der Fachcommunities bestehen, muss ein anderer Ansatz gewählt werden.

Zunächst zu den Rahmenbedingungen:

1. Authentifizierung: Nicht alle Forschenden, die Zugriff auf NFDI-Ressourcen erhalten sollen, haben die Möglichkeit, sich über einen Identity Provider (IdP) aus einer der über eduGAIN vernetzten Föderationen zu authentisieren. Daher müssen weitere Authentifizierungsquellen wie ORCID, Google, Facebook etc. sowie gegebenenfalls ein Homeless-/Gast-IdP an die betreffende AAI angebunden werden.

2. Autorisierung: Das Rechte- und Rollenmanagement für den Zugriff auf Community-spezifische Ressourcen kann sinnvollerweise nur seitens der Fachcommunities bzw. der Fachkonsortien erfolgen. In diesem Kontext wird auch von einer „Virtuellen Organisation“ (VO) gesprochen. Das Management der Virtuellen Organisationen in der NFDI obliegt den Fachkonsortien, die ihre jeweiligen Communities repräsentieren. Für den Zugriff auf fachspezifische Ressourcen
ist also ein dezentrales VO-Management erforderlich. Die von den Authentifizierungsquellen (z. B. Heimat-IdP) übertragenen Informationen dienen lediglich der Identifizierung der Nutzenden, nicht deren Autorisierung.

3. Technische Kompatibilität: Nicht jede Ressource bzw. deren zugrunde liegende Software unterstützt den Standard SAML (Security Assertion Markup Language),
auf dem aktuell noch die meisten Föderationen, z. B. die DFN-AAI, beruhen. In Fällen, in denen andere Single-Sign-on-Standards und Protokolle wie OpenID Connect oder OAuth2 unterstützt werden oder die Zugriffskontrolle zertifikatsbasiert erfolgt, muss ein Token-Translation-Service vor die einzelnen Ressourcen bzw. Dienste geschaltet werden, um hier einen einheitlichen Zugriff zu ermöglichen.

Diese Punkte sind weder neu noch singulär, sondern betreffen Forschungscommunities und -projekte ganz allgemein. Im Rahmen des AARC-Projekts (Authentication and Authorization for Research and Collaboration) wurde in den Jahren 2015 bis 2019 die sogenannte AARC Blueprint Architecture (BPA) entwickelt. Wie der Name schon sagt, bietet die BPA eine Blaupause für eine Community-AAI und trägt insbesondere den drei oben genannten Punkten Rechnung (siehe Abbildung 1).

Abbildung 1: AARC Blueprint Architecture | ©GÉANT Association

 

Die BPA besteht aus fünf Komponenten, die zur Implementierung von föderierten IAM-Lösungen für Forschungsverbünde, also zu einer Community-AAI, kombiniert
werden können:

  • User Identity: Authentifizierung
    über AAI, Soziale Medien,
    ORCID etc.
  • Access Protocol Translation:
    IdP-/SP-Proxy, Token-Translation
  • Community Attribute Services:
    Rechte, Rollen, VO-Management
  • Authorisation: Autorisierung, Verwaltung
    des Zugriffs auf Dienste/
    Ressourcen
  • End Services: die eigentlichen
    Dienste und Ressourcen

Die zentrale Komponente dieses Konstrukts stellt ein Proxy dar, über den praktisch alle Informationen fließen. In Richtung Föderation und etwaiger weiterer Authentifizierungsquellen erscheint der Proxy als Serviceprovider, gegenüber den angeschlossenen Diensten und dem optionalen Token-Translation-Service fungiert er als Identity Provider.

Ergänzt wird diese Architektur durch eine Reihe von Guidelines, die seitens der AARC-Community entwickelt wurden und weiterentwickelt werden. Diese sollen ein
Höchstmaß an Interoperabilität sowohl innerhalb von Community-AAIs als auch zwischen Community-AAIs und Infrastrukturen wie EGI oder der European Open Science Cloud (EOSC) sicherstellen.

Im Rahmen des Basisdienstes IAM werden vier Open-Source-Implementierungen der AARC Blueprint Architecture unterstützt, für die ein langfristiger Support seitens der zuständigen Projektpartner gewährleistet ist. Im Rahmen des Basisdienstes IAM werden Workshops und Schulungen veranstaltet, die Fachkonsortien in
die Lage versetzen sollen, diese Lösungen selbst zu betreiben. Daneben wird aber auch das Hosting besagter Lösungen angeboten werden: als Community-AAI-as-a-Service, (CAAIaaS).

NFDI-AAI

Wie können nun Community-AAIs im Rahmen einer NFDI-AAI untereinander vernetzt und interoperabel gemacht werden? Auf technischer Ebene geschieht dies durch die Integration der SP-Proxy-Komponenten der Community-AAIs in die DFN-AAI. Auf diese Weise stehen die in der NFDI-AAI zusammengeschlossenen Community-AAIs und deren Ressourcen nicht nur Forschenden aus den ca. 400 an der DFN-AAI teilnehmenden Heimateinrichtungen zur Verfügung, sondern
über eduGAIN potenziell auch Nutzenden aus weiteren rund 5000 Hochschulen und Forschungseinrichtungen weltweit. Ergänzt wird die Architektur der NFDI-AAI durch Komponenten wie einen edu-ID-Proxy und einen Infrastruktur-Proxy sowie potenziell eine NFDI-Community-Attribute-Authority für ein Community-übergreifendes Rechte- und Rollenmanagement (Abbildung 2).

Abbildung 2: Architektur der NFDI-AAI

Abbildung 2: Architektur der NFDI-AAI

Der Infrastruktur- bzw. Infra-Proxy dient als einheitliche Schnittstelle zur Anbindung von Diensten an die NFDI-AAI, die Community- bzw. konsortienübergreifend verfügbar sein sollen. Wie bei den Community-AAIs werden auch hier unterschiedliche Protokolle und Single-Signon-Standards unterstützt.

Der edu-ID-Proxy dient mehreren Zwecken. Zunächst bietet er Nutzenden eine lebenslang gültige, einrichtungsunabhängige, selbst verwaltete, digitale Identität. Dieses Konzept adressiert das Problem der Researcher Mobility. Damit ist der Umstand gemeint, dass Forschende in befristeten Arbeitsverhältnissen häufiger den Arbeitgeber und somit ihre Heimateinrichtung sowie ihre damit verbundene digitale Identität wechseln. Eine unterbrechungsfreie Nutzung von Diensten wie Forschungsdatenrepositorien ist somit nicht möglich. Das edu-ID-System ermöglicht also die nahtlose Nutzung der über die NFDI-AAI verfügbaren Ressourcen und dient zugleich als zentraler Homeless-/Gast-IdP. Weiterhin bietet das edu-ID-System die Möglichkeit, die eigene digitale Identität mit weiteren Accounts zu verknüpfen, die damit verbundenen Daten wie die ORCID iD zu aggregieren und diese bei Bedarf an NFDI-Dienste zu übertragen.

Ein weiterer Baustein der Interoperabilität sind verpflichtende Attribut- und Claim-Profile, die sich sowohl an den AARC- als auch an den EOSC-Guidelines orientieren. Es geht also um die Standardisierung des Austauschs von Nutzenden-Informationen hinsichtlich Syntax, Schemata und Vokabular.

Herausforderung Integration

Auf technischer Ebene wird eine zentrale Aufgabe darin bestehen, die Fachkonsortien im Rahmen der Implementierung einer Community-AAI dabei zu unterstützen, sowohl bestehende AAI-basierte Lösungen als auch weitere digitale Ressourcen als Dienste in die oben skizzierte Gesamtarchitektur der NFDI-AAI zu integrieren. An welcher Stelle ein solcher Dienst angebunden wird, hängt von mehreren Faktoren ab (Abbildung 2).

  1. Falls eine Ressource über einen SAML-fähigen Serviceprovider föderiert werden kann, sie eine Zielgruppe über die NFDI hinaus adressiert und der Zugriff nicht über Community-spezifische Autorisierungsregeln gesteuert wird, dann kann der betreffende Serviceprovider als Generic Service direkt in der DFN-AAI angemeldet werden.
  2. Wird der Zugriff auf die betreffende Ressource über Community-spezifische Autorisierungsregeln gesteuert, letztlich über das VO-Management einer Fachcommunity, dann sollte dieser als Community Service in die entsprechende Community-AAI integriert werden.
  3. Handelt es sich um einen NFDI-internen Dienst, der fachübergreifend genutzt werden soll, so kann dieser als NFDI Infrastructure Service an den Infra-Proxy angebunden werden.

Es ist davon auszugehen, dass insbesondere für die Integration digitaler Ressourcen als Dienste in die NFDI-AAI Softwareentwicklung geleistet werden muss. Daher ist im Basisdienst IAM auch ein Inkubator-Arbeitspaket vorgesehen, in dessen Rahmen entsprechende Entwicklungsarbeiten durchgeführt werden.

Weitere Handlungsfelder

Wie eingangs erwähnt, adressiert der Basisdienst IAM nicht nur technische, sondern auch organisatorische Aspekte der zukünftigen NFDI-AAI und der darin zusammengeschlossenen Community-AAIs. So besteht die wichtigste Aufgabe darin, gemeinsam mit den Fachkonsortien die Governance-Strukturen und -Prozesse für das Management der Virtuellen Organisationen zu etablieren und damit die Grundlage für die nachhaltige Verwaltung der Rechte und Rollen in der NFDI zu schaffen. Hierzu müssen auch juristische Aspekte behandelt werden. Es geht also beispielsweise um die Klärung von Datenschutz und Haftungsfragen sowie um die Erstellung von Vorlagen für Kooperationsverträge, Acceptable Use Policies etc., die für den Betrieb einer Community-AAI sowie für die Kooperation
innerhalb der NFDI-AAI erforderlich sind. Als Ausgangsbasis dient das Policy-Framework der Helmholtz AAI, das sich bereits seit einigen Jahren in der Praxis bewährt hat und seinerseits auf dem Policy Development Kit der AARC-Community beruht.

Weitere Handlungsfelder des Basisdienstes IAM sind die Sicherstellung des langfristigen technischen Betriebs der NFDI-AAI und der darin zusammengeschlossenen Community-AAIs sowie Dissemination, Training und Community Engagement. Dazu gehört die Veranstaltung regelmäßiger Workshops und Infoshares, die unter anderem der Rückkoppelung mit den Fachkonsortien und -communities dienen.

Text: Wolfgang Pempe (DFN-Verein)

Informationen zum aktuellen Stand des Projektes sowie zur NFDI-AAI gibt es unter:
https://doc.nfdi-aai.de
Mehr Informationen zur AARC Blueprint Architecture finden Sie hier:
https://aarc-community.org/architecture/