Artikel
Ein föderiertes Authentifizierungskonzept für Verbundforschungsprojekte der deutschen Universitätskliniken
Suche in Medline nach
Autoren
-
Tim Herrmann
- Datenintegrationszentrum der Universitätsmedizin Magdeburg, Magdeburg, Germany; Institut für Biometrie und Medizinische Informatik/OVG Universität Magdeburg, Magdeburg, Germany
-
Maik Löwe
- Datenintegrationszentrum am Universitätsklinikum Carl Gustav Carus Dresden, Dresden, Germany
-
Christian Bruns
- Datenintegrationszentrum der Universitätsmedizin Magdeburg, Magdeburg, Germany; Institut für Biometrie und Medizinische Informatik/OVG Universität Magdeburg, Magdeburg, Germany
-
Frederike Euchner
- Datenintegrationszentrum der Universitätsmedizin Magdeburg, Magdeburg, Germany; Institut für Biometrie und Medizinische Informatik/OVG Universität Magdeburg, Magdeburg, Germany
-
Stefan Krötki
- Datenintegrationszentrum der Universitätsmedizin Magdeburg, Magdeburg, Germany; Institut für Biometrie und Medizinische Informatik/OVG Universität Magdeburg, Magdeburg, Germany
-
Johannes Bernarding
- Datenintegrationszentrum der Universitätsmedizin Magdeburg, Magdeburg, Germany; Institut für Biometrie und Medizinische Informatik/OVG Universität Magdeburg, Magdeburg, Germany
-
Christian Knell
- Institut für Medizininformatik, Biometrie und Epidemiologie, Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen, Germany
-
Patrick Fischer
- Institut für Medizinische Informatik, Fachbereich Medizin, Justus-Liebig-Universität Gießen, Gießen, Germany
-
Michael Rautenberg
- Institut für Medizinische Biometrie und Statistik, Medizinische Fakultät, Universität Freiburg, Freiburg, Germany
-
Dennis Kadioglu
- Datenintegrationszentrum des Universitätsklinikums Frankfurt, Frankfurt am Main, Germany; Medical Informatics Group, University Hospital Frankfurt, Frankfurt am Main, Germany
-
Fabian Simons
- Datenintegrationszentrum, Philipps-Universität Marburg, Marburg, Germany
-
Lukas Götz
- Abteilung für Biomedizinische Informatik, Heinrich-Lanz-Zentrum der Universitätsmedizin Mannheim, Universität Heidelberg, Mannheim, Germany
-
Dirk Steinbrügger
- Datenintegrationszentrum, Universitätsmedizin Greifswald, Greifswald, Germany
-
Torsten Leddig
- Institut für Community Medicine, Abt. Versorgungsepidemiologie und Community Health,Universitätsmedizin Greifswald, Greifswald, Germany
-
Philipp Macho
- Institut für Med. Biometrie, Epidemiologie und Informatik (IMBEI) Abteilung Medizinische Informatik, Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz, Germany
| Veröffentlicht: | 24. September 2021 |
|---|
Gliederung
Text
Einleitung: Im Rahmen der BMBF geförderten deutschlandweiten Medizininformatik-Initiative (MII) wurde durch das MIRACUM-Konsortium [1], ein föderiertes Authentifizierungssystem seit 2018 stufenweise auf- und ausgebaut. Die Kernidee war hierbei die standortübergreifende Zusammenarbeit bei Daten- bzw Softwareprojekten über ein Single Sign-On (SSO) Authentifizierungssverfahren zu vereinfachen und gleichzeitig damit die IT-Sicherheit zu erhöhen [2]. Die 10 Datenintegrationszentren (DIZ) konnten die lokalen Verzeichnisdienste, in denen die Nutzeraccounts des jeweiligen Standortpersonals verwaltet werden, zu einem föderierten Authentifizierungssystem zusammenschließen. Dies sollte ein Basissystem für neue Projekte bilden die sich auch außerhalb der MII gebildet hatten. Im Sommer 2020 wurde durch das BMBF und die Charité das Netzwerk Universitätsmedizin (NUM) gegründet und 13 Projekte gestartet [3]. Bei mehreren dieser NUM-Projekten kommt dieses föderierte Authentifizierungssystem (FAS) des MIRACUM-Konsortiums erfolgreich zum Einsatz.
Methodik: Das FAS verwendet OpenID Connect (OIDC) als Authentifizierungsschicht-Protokoll (verabschiedet 2014) und basiert auf dem Autorisierungsframework OAuth 2.0 (verabschiedet 2012). Als Identity Provider (IdP) am jeweiligen DIZ-Standort kommt die Software Keycloak [4] zum Einsatz. Die große Stärke des OpenID Connect Protokolls in Verbindung mit der Software Keycloak bildet die föderale Infrastruktur. Hierdurch ist es möglich, eine Authentifizierungsanfrage für eine Applikation über ein Netzwerk aus Keycloak-Instanzen an den für den sich anmeldenden Nutzer zuständigen IdP weiterzuleiten. Da Keycloak auch die an den Standorten bereits etablierten Verzeichnisdienstsysteme wie OpenLDAP und Microsoft Active Directory anbinden kann, ist eine redundante Pflege der Accountdaten in Keycloak nicht erforderlich. Des Weiteren kann die föderale Struktur auch innerhalb eines Standorts angewendet werden, um zum Beispiel mittels zweier Keycloak-Standortinstanzen einen Verzeichnisdienst aus dem hochgesicherten Intranet in den Bereich der demilitarisierten Zone (DMZ) nur indirekt an eine Applikation zu binden und damit die IT-Sicherheit auf einem hohen Schutzniveau zu halten.
Ergebnisse: Für die Projekte RACOON, egePAN und CODEX des Netzwerks Universitätsmedizin wurden erfolgreich 90 Nutzeraccounts zu standortübergreifend gemeinsamen genutzten Softwaresystemen bereitgestellt. Von 34 NUM-Partnerstandorten konnten die 10 MIRACUM-Partnerstandorte für das RACOON-Projekt über das FAS auf ein gemeinsames Dokumentationssystem für die Kohorten-Dokumentation und die gesamte Projektkoordination seit 2020 erfolgreich zugreifen. Dem überwiegenden Teil der 240 am RACOON-Projekt beteiligten Wissenschaftlern (m/w/d) aus den anderen 24 Universitätskliniken wurde über individuell erstellte Nutzeraccounts Zugang gewährt. Dieser Weg bietet aber kein SSO und stellte somit einen zusätzlichen Account für die Wissenschaftler (m/w/d) dar.
Diskussion: Ein Vorteil des föderierten Authentifizierungssystems besteht darin, dass durch Deaktivieren der Benutzerzugänge in den lokalen Nutzerverzeichnissen die Mitarbeiter (m/w/d) auch den Zugriff auf alle ans FAS angeschlossenen Applikationen verlieren. Dieser Prozess kann auch manuell veranlasst werden, indem diese als nicht mehr zugriffsberechtigt gemeldet werden. Beobachtungen und Erfahrungen zeigen, dass dies in der Realität jedoch häufig nicht zeitnah geschieht. Ein föderiertes Single Sign-On (SSO) Authentifizierungsverfahren mit allen Universitätsmedizin-Standorten sollte ein wichtiges zu erreichendes Ziel der Medizininformatik-Initiative und des Netzwerk Universitätsmedizin für Forschungsprojekte für das Jahr 2021 sein.
Schlussfolgerung: Das föderierte Authentifizierungssystem FAS auf Basis von OpenID Connect und Keycloak ermöglicht eine effiziente Verwaltung von standortübergreifenden Zugriffsberechtigungen bei gleichzeitig einfacher Handhabung durch die Endnutzer. In MIRACUM, NUM-RACOON, NUM-egePAN und NUM-CODEX werden hierdurch Projektmitarbeiter (m/w/d) in standortübergreifenden Kooperationen bei ihrer täglichen Zusammenarbeit unterstützt bei gleichzeitiger Gewährleistung eines hohen IT-Sicherheitsniveaus.
Danksagung/Förderung: Dieses Vorhaben wird begleitet durch die TMF und gefördert vom BMBF unter den Förderkennzeichen FKZ: 01ZZ1801A, 01ZZ1801B, 01ZZ1801C, 01ZZ1801D, 01ZZ1801E, 01ZZ1801F, 01ZZ1801G, 01ZZ1801H, 01ZZ1801L, 01ZZ1801M.
Die Autoren geben an, dass kein Interessenkonflikt besteht.
Die Autoren geben an, dass kein Ethikvotum erforderlich ist.
Literatur
- 1.
- Prokosch HU, Acker T, Bernarding J, Binder H, Boeker M, Boerries M, et al. MIRACUM: Medical Informatics in Research and Care in University Medicine. Methods of Information in Medicine. 2018 Jul;57(S 01):e82–91. DOI: 10.3414/ME17-02-0025
- 2.
- Macho P, Blum D, Panholzer T. Föderiertes Identitäts- und Zugangsmanagement zu Applikationen. In: 65th Annual Meeting of the German Association for Medical Informatics, Biometry and Epidemiology (GMDS), Meeting of the Central European Network (CEN: German Region, Austro-Swiss Region and Polish Region) of the International Biometric Society (IBS). Berlin, 06.-09.09.2020. Düsseldorf: German Medical Science GMS Publishing House; 2021. DocAbstr. 292 DOI: 10.3205/20gmds166
- 3.
- Netzwerk Universitätsmedizin. Available from: https://www.netzwerk-universitaetsmedizin.de/projekte
- 4.
- Keycloak [Software]. Apache Lizenz 2.0. 2014 [Erstveröffentlichung]. Available from: https://www.keycloak.org
