Beiträge zu Innovationen in unserem IT-Bereich

Drucken leicht(er) gemacht

Wir freuen uns, Ihnen in Zusammenarbeit mit unserem Druck- und Reproduktionspartner BiblioCopy einen neuen Service präsentieren zu können: Den WLAN-Druck.

Dazu ein Beispiel aus der Praxis: Sie arbeiten gerade konzentriert an Ihrem Laptop im Lesesaal und stoßen bei Ihren Recherchen auf einen äußerst interessanten Zeitschriftenaufsatz, den Sie gerne sofort ausdrucken möchten. Bisher war der Weg häufig so: Zunächst haben Sie sich den Aufsatz heruntergeladen und auf einem USB-Stick gespeichert, um diesen anschließend bei BiblioCopy wieder an einen Drucker oder PC anzuschließen und das Dokument auszudrucken.

Das geht ab sofort einfacher, denn jetzt können Sie direkt über das WLAN der Staatsbibliothek den Drucker im Kopierzentrum BiblioCopy ansteuern und Ihren Druckauftrag in Arbeit geben. Um den Drucker bei BiblioCopy ansteuern zu können, bedarf es lediglich der Verbindung mit dem WLAN der Staatsbibliothek und der einmaligen Installation des Druckers. Die Anleitung zur Installation des Druckers und alle wichtigen Informationen finden Sie auf der Seite von BiblioCopy.

Uns ist bewusst, dass die Installation (im Vergleich zum heimischen Drucker) recht aufwendig ist, aber dafür gibt es auch einen sehr guten Grund: die Sicherheit Ihrer Daten. Wir müssen zu jeder Zeit sicherstellen können, dass der Druckauftrag auch wirklich von Ihnen gewünscht war und wir den Druckauftrag Ihnen (und niemand anders) zuordnen können, damit Sie am Ende auch wirklich das Gewünschte in den Händen halten. Wir bitten daher um Ihr Verständnis.

In der ersten Phase steht der WLAN-Druck allen Nutzerinnen und Nutzern mit Laptops der Betriebssysteme Windows 7 und 10 zur Verfügung. An einer Lösung für weitere Betriebssysteme wird intensiv gearbeitet. Bis dahin können Sie die Funktion des Ausdrucks per Upload nutzen.

Sollten Sie Fragen zur Installation haben oder Hilfe benötigen, können Sie sich gerne an die WLAN-Sprechstunde wenden.

Übrigens: Wir erfüllen mit dem WLAN-Druck einen von Ihnen bei der WLAN-Umfrage im März häufig geäußerten Wunsch. Ihre Anregungen und Kritiken bleiben also keineswegs ungehört.

Grüne Welle für Ihre Recherchen – stabikat+ mit Verfügbarkeitsampel

Auch in unserer Literatursuchmaschine stabikat+ erkennen Sie die Verfügbarkeit eines Buches aus unserem Bestand – in Echtzeit – jetzt schon in der Trefferliste. Die Einstellungen der Verfügbarkeitsanzeige im klassischen Katalog und in stabikat+ sind selbstverständlich identisch. Die Ampelfarben sowie die zugehörigen Ausschriften beschreiben jeweils den aktuellen Status des gesuchten Mediums.

Unsere Ampelfarben – wie im klassischen StaBiKat

Grün steht für aktuell verfügbare, bestellbare Bände und Präsenzbestand in den Lesesälen sowie für online verfügbare Quellen.
Gelb angezeigt werden verliehene, vormerkbare Bände aber auch noch einige ältere Werke mit dem Hinweis Kriegsverlust möglich, an deren Datenkorrektur wir fortlaufend arbeiten.
Rot werden Werke gekennzeichnet, die nicht mehr in der Staatsbibliothek vorhanden oder langfristig nicht zugänglich sind, also Verluste oder vermisste Bände, die aber der Vollständigkeit halber weiterhin im Katalog angezeigt bleiben.
Graue Buttons sehen Sie, wenn zu einem Treffer mehrere Exemplare oder mehrere Bände gehören. Die Ampelfarben finden Sie dann erst nach dem Klick auf den Titel der Publikation in der Detailanzeige des Treffers wieder.
Der farbige Button mit der zugehörigen Ausschrift führt entweder direkt zum Bestellen oder zur Detailanzeige im klassischen StaBiKat.

Volltexte online in stabikat+

Bei Dokumenten ohne farbige Buttons gelangen Sie auf unterschiedlichen Wegen zu den gefundenen Ergebnissen.

  • Bei einem Dokument mit PDF-Symbol können Sie direkt auf den gesuchten Text zugreifen.
  • link@sbb ergänzt durch die Ausschrift Zum Volltext führt Sie über einen Linkresolver direkt zum elektronischen Volltext des gesuchten Aufsatzes.
  • link@sbb in Kombination mit der Ausschrift Verfügbarkeit prüfen führt Sie über den Linkresolver zum Eintrag der Zeitschrift im klassischen StaBiKat und hier entweder zur elektronischen Version mit Zugriffslink oder zur Druckausgabe der Zeitschrift mit Bestellmöglichkeit des gesuchten Bandes.
  • Ein Link mit dem Wortlaut „View record from …“ gibt Ihnen einen Hinweis auf einen Text aus einem Open Access Repository (z.B. über die Suchmaschine BASE) oder einer bibliographischen Datenbank und Sie können über den Link in der Detailanzeige feststellen, ob der gefundene Treffer im Volltext zugänglich ist.

Nutzen Sie stabikat+ außerhalb der Lesesäle der Staatsbibliothek, finden Sie praktische Zugangsinformationen unter stabikat+ im Remote Access .

Fragen Sie uns!

In allen Zweifelsfällen bei der Zugänglichkeit der Dokumente sowie bei Ihren speziellen Rechercheanliegen oder anderen Belangen der Bibliotheksbenutzung unterstützen wir Sie selbstverständlich gern. Fragen Sie uns einfach!

Microservices, Sicherheit

Dieser Beitrag in unserer Blogserie zum Thema Microservices, behandelt das Thema Authentifizierung und Autorisierung basierend auf dem OAUTH2 – Verfahren. Es werden die Vorteile und Herausforderungen dieser Lösung erörtert.

Im Rahmen der Entwicklungsprojekte der Staatsbibliothek zu Berlin, ist eine technische Anforderung, die nahezu in jedem Projekt gefordert wird, die Anmeldung von Benutzern und die Verwaltung der entsprechenden Benutzerrechte und Rollen. Es ist dabei zu prüfen, ob diese Anforderung im Rahmen einer Organisationslösung oder als eine individuelle, projektspezifische Lösung umgesetzt wird. Eine mögliche Organisationslösung sollter meiner Meinung nach folgende wichtige Anforderung unterstützen:

  • Integrierbarkeit in eine Microservices Architektur.
  • Unterstützung mehrerer Authentifizierungsverfahren, wie zum Beispiel, LDAP, Shibboleth oder ein individuelles Verfahren.
  • Unterstützung von Single Sign On und Single Sign Out.
  • Unterstützung verschiedenster Anwendungen.
  • Individuelle Erweiterbarkeit.

Im Vorfeld zur Lösungsbeschreibung möchte ich einige Begriffe, welche häufig in diesem Kontext verwendet werden, erläutern.

Authentifizierung
Die Authentifizierung dient der Überprüfung der Benutzeridentität. In der Regel geschieht dies mit der Eingabe eines Benutzernamens und eines Passworts.

Autorisierung
Hierunter werden die Gewährung von Benutzerrechten und das Zulassen bzw. Verweigern der entsprechenden Aktion in der Anwendung verstanden.

Single Sign On / Single Sign Out
Mittels Single Sign On wird das einmalige Anmelden am System ermöglicht, um mehrere Anwendungen ohne wiederholte Anmeldung nutzen zu können. Analog existiert der Single-Sign-Out-Mechanismus zum Abmelden.

LDAP
Ein Verzeichnis Dienst zur Verwaltung von Benutzerinformationen.

Token
Ein codierter Text welcher Nutzer bzw. Zugriffsinformationen enthält. Enthält allerdings keine Passwortinformationen.

Begibt man sich in diesem Bereich auf die Suche nach möglichen aktuellen Verfahren und Lösungen, findet man folgende populäre Lösungsansätze, welche einige der oben genannten Anforderungen unterstützen:

OAUTH2
OAUTH2 ist eine reine Autorisierungslösung und der Nachfolger von OAUTH 1.0. Das OAUTH2 Protokoll ermöglicht Anwendungen, Zugriff auf Webservices mit begrenzten Benutzerinformationen zu erhalten. Es wird bereits durch Anbieter von Webservices, wie zum Beispiel Facebook, Google oder auch Twitter verwendet. Alle Informationen zum Verfahren können Sie unter folgendem Link nachlesen.

OPEN ID Connect
Open ID Connect ist eine einfache Identitätsverwaltungsschicht basierend auf OAUTH2. Es ermöglicht Client Anwendungen die Identität eines Nutzers zu verifizieren und Nutzerinformationen zu erhalten. Es basiert auf HTTP REST Kommunikation.

SAML2, Security Assertion Markup Language
SAML2 ist ein Standard zum Austausch von Authentifizierungs-, und Autorisierungsinformationen und Nachfolger vom SAML Standard. SAML 2.0 ist XML-basiert und benutzt Sicherheitstoken zum Austausch von Nutzerinformationen. SAML basiert auf dem Zusammenspiel von einem Principal, dem Benutzer, einem Serviceprovider, einem Webservice zum Zugriff auf eine geschützte Ressource und einem Identity-Provider zur Prüfung der Identität eines Benutzers. SAML2 ist damit eine sogenannte Enterprise – Lösung, welche im gesamten Unternehmen bzw. der Organisation eingesetzt werden muss.

Für alle diese Verfahren sind bereits vielfältige Softwarebibliotheken und Produkte entwickelt worden. Eine Auswahl an Produkten welche diese Verfahren unterstützen sind folgende:

Eine gute Wahl ist meiner Meinung nach das Spring Security Framework. Die wichtigsten Gründe dafür sind:

  • Die gute Integrationsmöglichkeit für die Nutzung REST basierten Microservices,
  • Die Möglichkeiten der individuellen Erweiterbarkeit,
  • Die Unterstützung aller gängigen Authentifizierungsverfahren und Standards
  • Eine aktive Community und Weiterentwicklung
  • Die gute Integration in die Spring-Technologie.

Wie genau kann nun aber eine Lösung aussehen?

Eine mögliche Lösung hierfür wäre eine Remote-Fassade im Bereich der Sicherheit aufzubauen. Diese kann mögliche Autorisierungsverfahren verstecken und in Richtung der Anwendungen auf ein Verfahren standardisiert werden. Alle Anwendungen sind auf Basis des OAUTH2 Verfahren integriert.Folgende Abbildung veranschaulicht die Komponenten und das Verfahren.

Authentifizierung, Remote Fassade

Authentifizierung, Remote Fassade

Möchte der Benutzer eine Anwendung verwenden, wird dieser bei fehlender Authentifizierungsinformation auf die Anmeldeseite (Login) des Identity-Managementservers weitergeleitet. Dort kann der Nutzer seine Benutzerkennung eingeben und wird nach erfolgreicher Anmeldung zur ursprünglichen Anwendung zurück geleitet. Dieses Verfahren basiert auf dem OAUTH2 Flow „Authorization Code Grant“. Es können hier allerdings auch andere Flows für eine Anwendung verwendet werden. Beim Umleiten der Nutzeranfrage vom Identity-Management zur Anwendung wird dieser Umleitung ein sogenannter Token mitgegeben. Hier sollte meiner Meinung nach ein JSON Web Token (JWT) verwendet werden. Dieser Token enthält alle nutzerspezifischen Informationen und die entsprechenden Rechte und Rollen für diesen Benutzer. Die Anwendungen können nun diesen JWT auswerten und die entsprechenden Aktionen innerhalb der Anwendung zulassen bzw. verweigern. Zusätzlich zu dem OAUTH2 Standardverfahren ist es jetzt aber möglich für jede Anwendung ein Auhentifizierungsverfahren festzulegen. So könnte festgelegt werden, dass Benutzer der Anwendung A sich gegen das LDAP authentifizieren und Benutzer der Anwendung B sich gegen einen SAML2 Identity Provider authentifizieren. Hier agiert das Identity Management als eine Remote-Fassade zur Kapselung möglicher Authentifizierungsverfahren. Mit Hilfe des JWT können alle benutzerspezifischen Informationen platziert und ohne einen erneuten Login durch die Anwendungen ausgewertet werden.

Welche Vorteile bietet eine solche Lösung?

Diese Lösung hat den Vorteil, dass beliebige Authentifizierungsverfahren einmalig integrieren und mehrfach nachgenutzt werden können. Zusätzlich wird in Richtung der Anwendungen auf ein Verfahren standardisiert, was für die Client-Anwendungen weniger Anpassungen bei Erweiterungen des Indentity-Managements bedeutet und letztendlich auch Betriebsaufwände verringern kann. Ein weiterer Vorteil ist, dass jegliche Anwendungen mit allen benötigten Benutzerinformationen versorgen können ohne jemals die Benutzerauthentifizierung im Netzwerk ausgetauscht zu haben. Mit Hilfe des JWT können so auch Microservices ohne Userinterface die Nutzerinformationen erhalten und auswerten.

Welche Herausforderungen bringt diese Lösung mit sich?

Eine Herausforderung ist natürlich die Integration komplexer Authentifizierungsverfahren wie zum Beispiel SAML2. Hierbei müssen die Anmeldeinformationen bei dem entsprechenden Identity Provider der jeweiligen Organisation eingegeben werden und nicht im Standard-Login des Identity-Managements.
Eine weitere Herausforderung ist die unterschiedliche Darstellung derselben Anmeldeseite für unterschiedliche Anwendungen. Mögliche Ansätze zur Lösung dieser Thematik könnten auf Frontend-Komposition basieren. Dies bedeutet, dass die Anmeldeseite in die jeweilige Anwendung integriert und somit dem Anwendungslayout angepasst wird.
Neben der Anmeldung muss ebenfalls eine Lösung für eine einheitliche Abmeldung in allen Anwendungen gefunden werden. Dazu gibt es sogenannte Push Verfahren mit welcher das Identity Management die Anwendungen über die Benutzerabmeldung informieren kann.

Fazit

Das Thema Authentifizierung / Autorisierung und damit das Thema Sicherheit spielt im Bereich der Microservices eine wichtige Rolle. Bei der Konzeption einer Microservice-Architektur sollte aus meiner Sicht dieses Thema im Vorfeld separat und dediziert geplant werden. Es ist ein zentraler Bestandteil der so genannten Macroarchitektur. Denn jeder Microservices hat zur Aufgabe die Geschäftslogik entsprechend der Nutzerrechte zu gestalten. Dafür kann es natürlich nicht für jeden Microservices eine individuelle Sicherheitslösung geben. Die hier vorgestellte Lösung, hat den Vorteil, dass die Verwendung eines JWT und des OAUTH2-Verfahrens sich sehr gut für die Verwendung innerhalb einer Microservices Architektur eignet. Der JWT kann in jeden HTTP Request als Authorization Header mitgesendet werden, sodass ein HTTP REST basierter Microservice diesen auswerten kann. Es sollte allerdings darauf geachtet werden, dass die Anwendungslogik zur Auswertung des Tokens, sich nicht zu stark auf die Struktur des JWT festlegt. Wird diese nämlich im Laufe der Zeit grundlegend geändert müssen sämtliche Microservices angepasst werden. Mit der Auswahl des Frameworks Spring Security, dem OUATH2 Verfahren und dem JSON Web Token ist eine leichtgewichtige Integration sehr gut möglich.