Jakoblog — Das Weblog von Jakob Voß

Nature als Nationallizenz verfügbar

Nature, die neben „Science“ renommierteste wissenschaftliche Fachzeitschrift, ist ab sofort im Rahmen der Nationallizenzen in den Jahrgängen von 1869-2007 für alle „in Deutschland wissenschaftlich Tätige“ kostenfrei verfügbar und kann hier recherchiert werden. Welche weiteren Zeitschriften und Datenbanken ebenfalls als Nationallizenz verfügbar sind, ist unter www.nationallizenzen.de einsehbar. Nach und nach werden auch die gesamten Metadaten gesammelt – siehe dazu die Datenbanken, die bei der VZG aufgelistet werden. Der Zugang sollte in allen Bibliotheken möglich sein, die Nature als Nationallizenz ausgewählt haben. Um auch vom eigenen Arbeitsplatz zugreifen zu können, muss man sich theoretisch per Shibbolethals als Nutzer einer Bibliothek ausweisen. Praktisch funktioniert das aber bislang nur für Einzelnutzer, das heisst Personen, die keine Bibliotheken nutzen oder nur Bibliotheken, die noch kein Shibboleth zur Authentifizierung im Rahmen der DFN-Föderation unterstützen. Hier kann man sich anmelden.

Beim Blättern in den alten Ausgaben ist mir aufgefallen, dass sich der Stil und die Anforderungen an wissenschaftliche Fachartikel mit der Zeit doch schon etwas gewandelt haben. Die kurzen Artikel aus dem 19. Jahrhundert erinnern mich teilweise eher an heutige Weblog-Beiträge! 😉

VZG tritt mit Shibboleth DFN-Föderation bei

Seit Weihnachten ist die VZG offiziell Mitglied der DFN-Föderation zu Shibboleth. Bei Shibboleth handelt es sich nicht um eine Rasse im Star-Trek-Universum (so wie die Ferengi, Borg oder Vulkanier), sondern um ein Verfahren für eine „Authentifizierungs- und Autorisierungs-Infrastruktur“ (AAI). Das Identity-Management mit Shibboleth ist vergleichbar mit OpenID, geht aber darüber hinaus. Geregelt werden vor allem nicht nur technische, sondern auch organisatorische Belange. Während bei OpenID hinter jeder Identität letzendlich nur eine URL steht, stellt die DFN-Föderation sicher, dass hinter den verwalteten Identitäten tatsächliche Personen stehen. Die Mitglieder der Föderation garantieren als „Identity-Provider“ die Authentizität und Aktualität ihrer Nutzerdaten und einigen sich auf eine Menge von Attributen wie Nachname, Heimatorganisation, Art der Zugehörigkeit und Berechtigungen. Diese Attribute können beim Single-Sign-On an einen „Service-Provider“ weitergegeben werden – wobei der Datenschutz hohe Priorität hat. In der Regel wird nicht einmal der Name, sondern nur die Zugehörigkeit und/oder Berechtigung übertragen. Der Anbieter eines Dienstes bekommt vom Identity-Provider also lediglich die Information, dass sich eine Person erfolgreich authentifiziert hat und ihr Identity-Provider eine bestimmte Berechtigung garantiert. Die VZG ist im Rahmen der DFN-Föderation sowohl Identity-Provider (für Einzelnutzer von Nationallizenzen) als auch Service-Provider (mit einem Proxy zum Zugriff auf Nationallizenz-Angebote). In Zukunft sollen weitere Universitäten als Identity-Provider und weitere Verlage direkt als Service-Provider auftreten. Weitere Informationen zu Shibboleth – bspw. Hilfen zur Installation und Konfiguration gibt es auf den Seiten zum Projekt AAR an der Uni Freiburg.

Relevant APIs for (digital) libraries

My current impression of OCLC/WorldCat Service Grid is still far to abstract – instead of creating a framework, we (libraries and library associations) should agree upon some open protocols and (metadata) formats. To start with, here is a list of relevant, existing open standard APIs from my point of view:

Search: SRU/SRW (including CQL), OpenSearch, Z39.50

Harvest/Syndicate: OAI-PMH, RSS, Atom Syndication (also with ATOM Extensions)

Copy/Provide: unAPI, COinS, Microformats (not a real API but a way to provide data)

Upload/Edit: SRU Update, Atom Publishing Protocol

Identity Management: Shibboleth (and other SAML-based protocols), OpenID (see also OSIS)

For more complex applications, additional (REST)-APIs and common metadata standards need to be found (or defined) – but only if the application is just another kind of search, harvest/syndicate, copy/provide, upload/edit, or Identity Management.

P.S: I forgot NCIP, a „standard for the exchange of circulation data“. Frankly I don’t fully understand the meaning and importance of „circulation data“ and the standard looks more complex then needed. More on APIs for libraries can be found in WorldCat Developer Network, in the Jangle project and a DLF Working group on digital library APIs. For staying in the limited world if libraries, this may suffice, but on the web simplicity and availability of implementations matters – that’s why I am working on the SeeAlso linkserver protocol and now at a simple API to query availaibility information (more in August/September 2008).

P.P.S: A more detailed list of concrete library-related APIs was published by Roy Tennant based on a list by Owen Stephens.

P.P.S: And another list by Stephen Abram (SirsiDynix) from September 1st, 2009

Was ist eigentlich Shibboleth?

Shibboleth wird zunehmend in Bibliotheken eingesetzt, so dass zum Beispiel Nutzer mit ihren normalen Account von Überall auf Nationallizenzen zugreifen können. Die TU-Chemnitz verwendet sogar Shibboleth für alle ihre Dienste (Gruß an ronsc). Jenni Krueger hat eine kurze Einführung erstellt, die zum Einsteig in die Materie ganz hilfreich ist. Zusätzliche Quellen gibt es dazu bei bibsonomy. Zum Vergleich von OpenID und Shibboleth habe ich auch nicht viel gefunden, dieser Vortrag von Leigh Dodds ist ganz nett (auch mit weiteren Quellen). Relevant wird vielleicht in Zukunft vielleicht noch OAuth.

Shibboleth ist ein Projekt des Internet2-Konsortiums und eine Open Source Anwendung zur Authentifizierung und Autorisierung für webbasierte Anwendungen und Services, die auf dem SAML-Standard basiert. Die Grundidee von Shibboleth ist es, dass jeder Benutzer sich nur einmal bei seiner Heimateinrichtung identifizieren muss, um die Dienste verschiedener Anbieter ortsunabhängig nutzen zu können. Dieses Prinzip nennt man „Single Sign-On“. Dadurch wird das Problem vieler verschiedener Nutzernamen und Passwörter für unterschiedliche Services oder lizensierte Materialien gelöst und ihre Nutzung wesentlich vereinfacht.

Wenn ein Benutzer über eine beliebige Internetverbindung auf einen Service oder eine geschützte Quelle zugreifen möchte, dann muss zunächst geprüft werden, ob er schon authentifiziert ist. Wenn das nicht der Fall ist, leitet der Service-Provider den Nutzer an einen Lokalisierungsdienst weiter, der die Heimateinrichtung des Nutzers ermittelt. Dort muss sich der Benutzer beim Identity-Provider der Heimateinrichtung mit Nutzernamen und Passwort identifizieren. Nach erfolgreicher Identifikation wird der Nutzer zurück zum Anbieter geleitet. Wenn der Service-Provider noch weitere Informationen benötigt, kann er beim Identity-Provider bestimmt Rechte oder Zugehörigkeiten erfragen, um zu ermitteln, ob der Nutzer autorisiert ist.

Die Authentifizierungs- und Autorisierungsinformationen können während der Sitzung in einem Cookie gespeichert werden, dadurch ist dann die Möglichkeit des Single Sign-On gegeben und der Nutzer spart sich bei einem weiteren Serviceanbieter erneute Anmeldeschritte. Voraussetzung für dieses ganze System ist, dass die Heimateinrichtung eine Instanz des Identity-Providers betreibt und die Serviceanbieter der angefragten Quelle den Service-Provider von Shibboleth betreiben.

Angestrebt ist ein flächendeckender und vielleicht sogar europaweit einheitlicher Einsatz von Shibboleth. Ab einer gewissen Größe des Einsatzgebietes übernimmt eine sogenannte Föderation die Organisation. Die Föderation soll alle Identity-Provider und Service-Provider in einer Dachorganisation vereinen und alle Standards des Verfahrens einheitlich für alle Mitglieder regeln. Außerdem soll sie den Lokalisierungsdienst für alle Mitglieder betreiben. In Deutschland wurde eine solche Föderation (DFN-AAI) vom Deutschen Forschungsnetz (DFN) in Zusammenarbeit mit der Universität Freiburg gegründet und auch in anderen Ländern gibt es schon Föderationen zur Leitung des Einsatzes von Shibboleth:DK-AAI (Dänemark), HAKA (Finnland), CRU (Frankreich), UKFederation (Großbritannien), SWITCH (Schweiz).

Die Unterschiede zu anderen Programmen wie OpenID (ähnlich wie Shibboleth, aber Konzept der URL-basierten Identität, eher für Unternehmen) und LDAP („Leihtweight Directory Access Protocol“, Einsatz bei Verzeichnisdiensten, Client/Server-Modell, Informationen auf Abfrage) liegt unter anderem darin, dass der Zugriff auf eine zugriffsgeschützte Quelle nicht mehr an einen Rechner gebunden ist, sondern an die Person, die auf die Quelle zugreifen möchte. Nutzer erhalten eine elektronische Identität mit Attributen, die die Grundlage für die Autorisierung und Zugriffskontrolle mit Shibboleth bilden. Shibboleth soll durch die stärkere Trennung von Personendaten und Services den bisherigen IP-Nummern-basierten Zugriff möglichst ganz ersetzen und ein organisationsübergreifendes Identity-Management schaffen.

Shibboleth wird bereits in verschiedenen Bereichen eingesetzt, vor allem in der Wissenschaft und Lehre, denn an vielen Bibliotheken oder Universitäten gibt es mittlerweile eine Vielzahl an elektronischen Diensten, Angeboten und lizensierten Materialen, für die eine komfortable und zugleich sichere Zugangsverwaltung und –kontrolle notwendig ist. In Deutschland beteiligen sich beispielsweise: Uni Freiburg, Uni Regensburg, Vascoda, das FIZ-Technik, Genios, der GBV und Springer. Auf der offiziellen Website gibt es eine relativ lange Liste von Anwendungen und Services, in denen Shibboleth integriert ist oder gerade integriert wird, zum Beispiel EBSCO Publishing, ExLibris, OCLC, Moodle und Napster. Außerdem findet man auf der gleichen Seite die Links zu den Föderationen im Ausland.