Föderiertes IdM für Bibliotheken

SeamlessAccess.org und FIM4L, zwei Seiten der gleichen Medaille

 

Logos (v.l.n.r.): SeamlessAccess.org und FIM4L Aus der ständig voranschreitenden Digitalisierung unseres Alltags ergeben sich viele Chancen und Herausforderungen. Eine sehr große und immer wieder heiß diskutierte Herausforderung ist der Datenschutz, insbesondere im Zusammenhang mit digital erschlossenen Kooperationsmöglichkeiten. Je mehr Daten zwischen den teilnehmenden Institutionen ausgetauscht werden, desto mehr potentielle Gefahrenstellen für die Datensicherheit können entstehen. Föderiertes Identity Management ermöglicht, dass sensible personenbezogene Daten, wie Name oder E-Mail-Adresse, einzig in der Heimatorganisation der Benutzer*innen gespeichert und verarbeitet werden. Solche Daten können aber auch, abhängig von entsprechenden Vereinbarungen, von der Heimatorganisation an einen Dienstbetreiber geschickt werden; neben anonymer Information wie „User ist Mitarbeiter unserer Institution“, wäre auch „Username lautet Max Müller“ denkbar. Hier gilt es, genau zu definieren, ob und welche personenbezogenen Attribute hier fließen sollen bzw. datenschutzrechtlich erlaubt sind. Dies gilt insbesondere auch für die Kommunikation zwischen Bibliotheken, welche Zugriff auf Daten Ihrer Nutzer*innen haben und wissenschaftlichen Verlagen, die diesen Nutzer*innen Dienste anbieten.

Unterstützung der Bibliotheken durch FIM4L

Um Bibliotheken hierbei zu beraten und ihre Interessen zu vertreten, wurde die Arbeitsgruppe FIM4L gebildet. Sie fasst in ihrer Charta Empfehlungen für Bibliotheken weltweit zusammen, um diese dabei zu unterstützen, Benutzer*innen durch föderiertes Identity Management überall auf der Welt datenschutzkonformen Zugang zu Ressourcen zu verschaffen. Als Gründungsmitglied von FIM4L engagiert sich der Geschäftsführer der DAASI International, Peter Gietz, sehr für die Verbreitung dieser Empfehlungen. Ziel ist es, nicht nur die Digitalisierung der Forschung voranzutreiben, sondern auch Forschungskooperation generell zu fördern.

Am Mittwoch, den 23.03.21 hielt Peter Gietz zusammen mit Gerrit Gragert, Leiter der IT-Services an der Staatsbibliothek zu Berlin, im Rahmen der 74. DFN-Betriebstagung einen Vortrag, der beide Seiten des föderierten Identity Management im Bibliotheksbereich beleuchtete. Herr Gragert referierte seinerseits über die Perspektive und Aktivitäten der Wissenschaftsverlage und deren Relevanz für Bibliotheken. Herr Gietz beleuchtete die technische Seite und stellte die FIM4L-Projekte und Maßnahmen vor sowie deren Datenschutzperspektive. Er hob besonders die Vorteile der Security Assertion Markup Language (SAML) hervor, die den Austausch von Authentifizierungs-, Attribut- und Autorisierungsinformationen ermöglicht. Durch diesen Austausch können Benutzer*innen der Organisation A auch auf Ressourcen der Organisation B innerhalb der Föderation zugreifen, ohne dabei einen weitere Account erstellen oder ihre Daten weitergeben zu müssen.

Die beiden Referenten gingen in diesem Zusammenhang vor allem auf die zwei Initiativen SeamlessAccess.org und FIM4L ein. SeamlessAccess.org ist eine eher verlagsgetriebene Initiative, die zunächst als RA21 auftrat und deren Hauptintention es ist, Anwendung von SAML-Technologien zu vereinfachen. Zu diesem Zweck hat sie ein Javascript erstellt, das leicht in Webseiten integriert werden kann und mit dem der Discovery-Prozess (die Möglichkeit für Benutzer*innen, ihre Heimatorganisation zu wählen) vereinfacht werden soll. FIM4L, als andere Seite der sprichwörtlichen Medaille, ist eher bibliotheksgetrieben. Ihr Hauptanliegen besteht darin, den Datenschutz der Bibliotheksbenutzer*innen zu gewährleisten. Deshalb empfiehlt die Arbeitsgruppe die SAML-basierte Kommunikation zwischen Bibliothek und Verlag. Sollte ein Verlag einmal persönliche Daten benötigen, bezieht er diese nicht ohne Wissen der Benutzer*innen, sondern muss sie über ein entsprechendes eigenes Webformular einholen. Schließlich gibt es aktuell auch eine ergebnisoffene Diskussion über den Einsatz sogenannter Consent-Module, die Benutzer*innen die Möglichkeit bieten, einer Übertragung ihrer personenbezogenen Daten zum Verlag zuzustimmen.

Die Zukunft des föderierten Identity Managements in Bibliotheken

FIM ist für Bibliotheken ein sehr politisches Thema, und die immer noch weit verbreitete Praxis, sich ausschließlich über die IP-Adresse der Institution für Verlagsangebote zu authentifizieren, geben ihnen eine gewisse Freiheit gegenüber den Verlagen. Dennoch werden Bibliotheken zunehmend auf FIM-Technologien umsteigen müssen, weil sie sowohl von den Nutzer*innen, die Single Sign-On mit ihrem eigenen Nutzeraccount erwarten als auch von den Verlagen, die in SAML-Technologie investiert haben, dazu getrieben werden. Deshalb haben wir im Rahmen des EU-Projekts AARC einen Pilotdienst entwickelt, über den für Bibliotheken IP-basierte Authentifizierung auch über SAML-Infrastrukturen möglich bleibt. Im Rahmen von FIM4L haben wir uns zudem dafür engagiert, dass Verlage nur nicht-personenbezogene Daten von den Bibliotheken erhalten sollen“ fasst Peter Gietz, diese Thematik zusammen.

Zum Abschluss des Vortrags gab Peter Gietz noch einen Ausblick gemäß seinen Erwartungen für die Zukunft:

  • Verlage werden zunehmend FIM-basierte Verträge fordern und IP-basierte Authentifizierung ablehnen
  • Bibliotheken werden weiterhin IP-basierte Authentifizierung als Option behalten wollen
  • Benutzer*innen werden ein größeres Bewusstsein für den Umgang mit ihren personenbezogenen Daten entwickeln
  • Bibliotheksverbände werden entsprechende Empfehlungen abgeben

Der Vortrag wurde durch den DFN-Verein online zur Verfügung gestellt und kann gerne noch einmal nachgelesen werden.

[Erster Teil von Gerrit Gragert]
[Zweiter Teil von Peter Gietz]

Beratung durch die DAASI International

Als Dienstleister im Bereich Identity & Access Management mit großer Nähe zur Forschung, sind datenschutzkonforme Implementierungen von FIM eine Herzensangelegenheit der DAASI International. Daher unterstützen wir interessierte Institutionen gerne dabei, einer bereits bestehenden Föderation, wie der DFN-AAI oder der weltweiten Interföderation, eduGAIN, beizutreten.

Menü