EUDAT & AAI Daan Broeder MPI for Psycholinguistics Initially - - PowerPoint PPT Presentation

EUDAT & AAI

Daan Broeder MPI for Psycholinguistics

• EPOS: European Plate Observatory System
• CLARIN: Common Language Resources and

Technology Infrastructure

• ENES: Service for Climate Modelling in Europe
• LifeWatch: Biodiversity Data and Observatories
• VPH: The Virtual Physiological Human
• INCF: International Neuroinformatics

Initially six research communities on Board

Communities and Data Centers

Identifying basic requirements Identify commonalities, common data services

EUDATs Mission

Collaborative Data Infrastructure

Trust ¡ Data ¡Cura*on ¡ Data ¡Generators ¡ Users ¡ Common ¡Data ¡Services ¡ Community ¡Support ¡Services ¡

User-­‑focused ¡ func*onality, ¡data ¡ capture ¡& ¡transfer, ¡VREs ¡ Data ¡discovery ¡& ¡ naviga*on, ¡workflow ¡ crea*on, ¡annota*on, ¡ interpretability ¡ Persistent ¡storage, ¡ iden*fica*on, ¡ authen*city, ¡workflow ¡ execu*on, ¡mining ¡

4

AAI ¡ Metadata ¡Catalogue ¡

Dynamic replication to HPC workspace for processing ¡ Aggregated EUDAT metadata domain. Data inventory ¡ Network of trust among authentication and authorization actors ¡

Data ¡Staging ¡ Safe ¡Replica6on ¡

Data curation and access

• ptimization

¡

PID ¡

Identity Integrity ¡ Authenticit y Loca*ons ¡ ¡

Simple ¡Store ¡ Simple ¡Store ¡

Researcher data store (simple upload, share and access) ¡

PID metadata data

EUDAT services

EUDAT ¡Box ¡

dropbox-­‑like ¡service easy ¡sharing ¡ ¡ local ¡synching ¡

Seman6c ¡Anno ¡

checking & referencing ¡

Dynamic ¡Data ¡

immediate handling ¡

Services ¡ under ¡ ¡ evalua6on ¡

EUDAT services

EUDAT Box

• Sync file system with

central storage

• Support collaborative work
• Only started thinking about

AAI Dynamic Data

• Manage ‘unfinished’ data-

sets: sensor data, surveys,

• Metadata for DD
• Cite / point using PIDs

What EUDAT Services need AAI?

• B2SHARE
• YouTube for scientists catering for long tail data uses its
• wn user-store
• B2SAFE

§ iRODS & icommands, HTTP API § Data replicas stored at data-centers § Many offer access through GridFTP or iRODS & icommands § X.509 based access, certificate subject contains AUTZ attributes § But this is not interesting for many communities that prefer HTTP § HTTP API via OAUTH or CERTs tokens

• B2DROP [No Logo Yet]
• based on PowerFolder supporting local/ldap/ssl radius,shibboleth

Possible AAI Strategies & considerations

• 1. Solve everything for everyone
• 2. Solve many things for many people
• 3. Give precedence to non-IT savvy community needs
• 4. Rely on supported software requiring minimal

adaptations

• 5. Avoid necessary adaptations for the communities
• 6. Avoid need for new central DBs

EUDAT initially went for 1, 5

Attribute Provider AuthZ either community-managed or ( ) attributes provided by user’s home IdP are reused

AtP ¡ 1 ¡ AtP ¡ 2 ¡ AtP ¡ 3 ¡

• zoned ¡creden*al ¡conversion ¡service ¡
• unique ¡user ¡Ids, ¡project-­‑wise ¡mapped ¡to ¡
• aRribute ¡based ¡access ¡control ¡informa*on ¡ ¡

*

𝚬 𝚬 𝛁 𝛁

consolidated ¡creden*als ¡

IdP ¡ A ¡ I d P ¡ B ¡ IdP ¡ D ¡

OpenID ¡ x . 5 9 ¡

*

𝛁 𝛁

Authorization

• Providing access to replica

DO requires the availability

• f AUTZ information also!

from a reliable ‘central’ authority

• Communities want to

control their own AUTZ

• Central AUTZ service

synchronized with center/ community specific

DO ¡ DO ¡ DO ¡

Community center A DATA center X DATA center Y

Community ¡ AUTZ ¡ EUDAT ¡ AUTZ ¡

(XACML)

EUDAT Solutions 1

• Communities use: Shib, X509, …
• Need for a “identity credential conversion” to a single EUDAT

identity

• In the FIM IDF/SAML world this requires to use of also a central

user store since no unique user id is available e.g. ePTID attribute

• Experimented with using Contrail

– Cloud Federation computing project ran from 2010 until Jan 2014 – Homeless – Web2nonWeb e.g. OAUTH, SLCS – EUDAT credentials

• Unfortunately insufficient results

– Problematic necessary seeding of the contrail DB with user records – AUTZ was never proved working for any EUDAT community – Contrail software no longer supported

Contrail

AAI ¡services ¡provided ¡by ¡the ¡EUDAT ¡ centers ¡to ¡the ¡EUDAT ¡communi*es ¡

Contrail ¡ ¡ ¡

EUDAT ¡ communi*es ¡ eduGAIN ¡or ¡ESFRI ¡SPFs ¡ ¡

Haka ¡federa*on ¡ Community ¡ service ¡ (CLARIN) ¡ homeless ¡

(IdP ¡for ¡the ¡ homeless ¡users) ¡

¡ ¡ REMS ¡service ¡ ¡

(for ¡dataset ¡ access ¡rights) ¡

Community ¡ management ¡ ¡

(for ¡community ¡ memberships) ¡

Community ¡ service ¡ (ENES) ¡ Community ¡ service ¡ (EPOS) ¡ Web2nonWeb ¡

(bridge ¡to ¡non-­‑ web ¡services) ¡ ¡ ¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

¡

DFN-­‑AAI ¡federa*on ¡ Ins*tu*onal ¡IdP ¡

¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

¡

SIR.es ¡federa*on ¡ Ins*tu*onal ¡IdP ¡

¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

Database ¡ that ¡stores ¡ everything ¡

EUDAT solution 2

• Currently experimenting with using Unity

– Cloud Identity and Federation Management part of the UNICORE grid middleware stack – Homeless – Web2nonWeb e.g. SLCS (for now via contrail) – EUDAT credentials

• Results seem better, promised:

– Automatic EUDAT credential creation at first login – Easy promotion from homeless to external authentication – Unity only solution in the making (SLCS) – Supported (if necessary) as part of UNICORE stack

EUDAT solution 3

• Nevertheless after the contrail experience need

to be careful

• Perhaps simple limited but proven solutions can

be considered

– More community centric – Rely on SAML federations only – Requiring ePPN with homeless IdP as alternative – Web2nonWeb as X509 should be delivered by those services that require it

Simpler distributed approach

EUDAT ¡ communi*es ¡ AAI ¡services ¡provided ¡by ¡the ¡EUDAT ¡ centers ¡to ¡the ¡EUDAT ¡communi*es ¡ eduGAIN ¡+ ¡ESFRI ¡SPFs ¡ ¡

Haka ¡federa*on ¡ Community ¡ service ¡ (CLARIN) ¡ Orphanage ¡ ¡

(IdP ¡for ¡the ¡ homeless ¡users) ¡

¡ ¡ REMS ¡service ¡ ¡

(for ¡dataset ¡ access ¡rights) ¡

Community ¡ management ¡ ¡

(for ¡community ¡ memberships) ¡

Community ¡ service ¡ (ENES) ¡ Community ¡ service ¡ (EPOS) ¡ Web2nonWeb ¡

(bridge ¡to ¡non-­‑ web ¡services) ¡ ¡ ¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

¡

DFN-­‑AAI ¡federa*on ¡ Ins*tu*onal ¡IdP ¡

¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

¡

SIR.es ¡federa*on ¡ Ins*tu*onal ¡IdP ¡

¡ ¡

Ins*tu*onal ¡IdP ¡

¡ ¡

Thank you for your attention