gms | German Medical Science

Hintergrund: Eine Zusammenarbeit von Personen mehrerer Standorte, im Bereich Forschung oder Krankenversorgung, wird immer wichtiger. Es werden oft zentrale Applikationen oder Dienste benutzt, die von unterschiedlichen Partnern bereitgestellt werden. Damit der Benutzer sich nicht an jeder Applikation neu registrieren muss und neue Zugangsdaten bekommt, ist eine Lösung nützlich, die eine föderierte Authentisierung ermöglicht. Sie stellt eine Verbindung zwischen einem Identitätsanbieter und den zentralen Applikationen her [1], [2].

Für die Standorte des MII-Konsortiums MIRACUM haben wir die Voraussetzungen bei den Benutzern ermittelt, drei verschiedene Systeme zur föderierten Authentisierung untersucht und eine Lösung für das Konsortium implementiert.

Methoden: Zur Erfassung des Ist-Zustands wurden die 10 Standorte des MIRACUM-Konsortiums (Universitätskliniken, Universitäten und Hochschulen) nach Verzeichnisdiensten mit den Benutzerkonten vor Ort befragt, die für ein föderiertes Identitäts- und Zugangsmanagement verfügbar sind. Ferner wurde gefragt, ob der jeweilige Standort sich an der Authentifikations- und Autorisierungsinfrastruktur des Deutschen Forschungsnetzes (DFN-AAI) beteiligt [3].

Die Open-Source-Anwendungen Keycloak, Shibboleth und Samply.Auth, die eine föderierte Authentifizierung ermöglichen, wurden getestet. Ein Konzept zur Einführung des Systems innerhalb des Konsortiums wurde entwickelt und implementiert.

Ergebnisse: Die lokal an den Standorten existierenden Benutzerkennungen sollen zur Anmeldung an den Applikationen genutzt werden – jedoch nicht Identitätsanbieter wie Google oder Facebook, die bei der Benutzerregistrierung keine nachweisliche Identifikation durchführen.

Bei Verwendung von Verzeichnisdiensten (Active Directory oder LDAP) am eigenen Standort, kann der Benutzer seine dort gepflegte Kennung zur Anmeldung an den verschiedenen Systemen verwenden. Die Anbieter der zentralen Applikationen haben den Vorteil, dass sie selbst keine Benutzerverwaltung betreiben müssen und sich auf zuverlässige Identitätsanbieter verlassen können.

Die Umfrage ergab, dass die Benutzerkonten an allen MIRACUM-Standorten in Active Directories geführt werden. Da nicht alle Standorte bei DFN-AAI beteiligt sind, kann eine DFN-Authentifizierung, die auch auf die lokalen Verzeichnisdienste zugreift, nicht benutzt werden.

Von den drei genannten Open-Source-Anwendungen entschieden wir uns für Keycloak [4]. Es ist weit verbreitet, wird aktiv weiterentwickelt und hat komfortablere Benutzungsoberflächen. Zudem bietet Keycloak mehrere Adapter für verschiedene Webserver zur Integration in Anwendungen an. Es unterstützt die Protokolle OpenID Connect, OAuth 2.0 und SAML 2.0.

Unsere Lösung: Wir betreiben einen zentralen föderierten Authentisierungsserver (FAS) als Identity Broker, der mit einem Identityprovider (IdP) an jedem Standort verbunden ist. FAS und IdP werden mit Keycloak-Systemen betrieben. Am IdP jedes Standorts hängt der jeweilige Verzeichnisdienst. Ein IdP als Komponente zwischen FAS und Verzeichnis hat den Vorteil, dass über das Internet nicht direkt auf das Benutzerverzeichnis zugegriffen wird. Die FAS-IdP-Verbindung über eine restriktive Firewall eines Klinikums ist zudem einfacher. Der IdP bietet ferner die Möglichkeit, Benutzerrollen zu definieren und diese an den FAS weiterzugeben. Mit den Rollen kann der Zugang zu Funktionen der Applikationen feiner gesteuert werden. Als zentrale Applikationen sind aktuell am FAS ein Quellcode-Repository, ein Suchdienst sowie eine MIRACUM-weite Kommunikationsplattform angeschlossen.

Zusammenfassung: Die Benutzerverzeichnisse an den Heimatstandorten sind vertrauenswürdige Quellen für die Benutzerauthentifizierung durch zentrale Applikationen. Um dies zu ermöglichen, hat sich der Einsatz des Keycloak-Systems im MIRACUM-Konsortium seit über einem Jahr bewährt. Weitere Applikationen sollen an FAS angebunden werden, u.a. auch zentrale Applikationen der MI-Initiative.

Die Autoren geben an, dass kein Interessenkonflikt besteht.

Die Autoren geben an, dass kein Ethikvotum erforderlich ist.