Allgemeine Informationen über die AAI

Ressourcenanbieter möchten aus verschiedenen Gründen den Zugriff auf ihre Ressourcen (z. B. Lernprogramme, Datenbanken, E-Journale etc.) auf bestimmte Anwendergruppen einschränken, oder benutzerbezogene Inhalte liefern können. Beide Fälle setzen eine Authentifizierung und eine Autorisierung voraus.

Ohne AAI

Ohne AAI muss sich der Benutzer bei jeder einzelnen Ressource registrieren, auf die er zugreifen möchte. In der Regel werden ihm deshalb auch bei jeder Ressource ein Benutzername und ein Passwort zugeteilt (Anmeldeinformationen). Die daraus entstehenden Schwierigkeiten sind offensichtlich:

  • Die Benutzer müssen je nachdem eine Vielzahl von Anmeldeinformationen (Attribute) verwalten, in der Regel einen Datensatz pro Ressource.
  • Jeder Ressourcenanbieter muss für jeden seiner Benutzer ein eigenes Anmeldeverfahren anlegen.

Mit AAI

Die AAI vereinfacht nun diese Prozesse für alle beteiligten Parteien:

  1. Der Benutzer muss sich zwar registrieren, aber nur einmal. Nämlich über seine so genannte "Home-Organisation", d.h. er registriert sich als Mitglied einer Benutzergemeinschaft wie z. B. eine Universität, eine Bibliothek, oder ein Universitätskrankenhaus. Dabei ist die Home-Organisation für die Verwaltung und die Aktualisierung der Benutzerdaten verantwortlich.
  2. Die Authentifizierung wird immer bei der Home-Organisation des Benutzers durchgeführt. Auf Verlangen der entsprechenden Ressource, und mit Erlaubnis des Benutzers, liefert die Home-Organisation auch Zusatzinformationen über den jeweiligen Benutzer an die Ressource.
    Auf diese Weise stehen alle AAI-Ressourcen dem Benutzer mit nur einem Satz Anmeldinformationen zur Verfügung, und der Ressourcenbetreiber braucht keine neuen Benutzer mehr zu registrieren, weil er die benötigten Daten direkt von der Home-Organisation des Benutzers erhält
  3. Die Zugangsberechtigungen werden bei der Ressource festgelegt, basierend auf den erhaltenen Benutzerinformationen.

Mit dieser föderativen Aufgabenteilung garantiert die SWITCHaai, dass jeder Beteiligte den für ihn entscheidenden Schritt kontrolliert: Die Home-Organisation registriert und authentifiziert ihre Mitglieder, die Ressourcenbesitzer definieren die Zugangsberechtigungen, während SWITCH die zentralen AAI-Komponenten betreibt und sowohl die Home-Organisationen, wie auch die Ressourcenbestreiber unterstützt.

Haben Sie Fragen zu AAI?

Bitten wenden Sie sich an unser Projekt-Team unter aai@switch.ch.