EUDAT & AAI Daan Broeder MPI for Psycholinguistics
Initially six research communities on Board • EPOS : European Plate Observatory System • CLARIN : Common Language Resources and Technology Infrastructure • ENES : Service for Climate Modelling in Europe • LifeWatch : Biodiversity Data and Observatories • VPH : The Virtual Physiological Human • INCF : International Neuroinformatics
Communities and Data Centers Identifying basic requirements Identify commonalities, common data services
EUDATs Mission Collaborative Data Infrastructure User-‑focused ¡ Users ¡ func*onality, ¡data ¡ Data ¡Generators ¡ capture ¡& ¡transfer, ¡VREs ¡ Data ¡Cura*on ¡ Data ¡discovery ¡& ¡ Trust ¡ naviga*on, ¡workflow ¡ Community ¡Support ¡Services ¡ crea*on, ¡annota*on, ¡ interpretability ¡ Persistent ¡storage, ¡ iden*fica*on, ¡ Common ¡Data ¡Services ¡ authen*city, ¡workflow ¡ execu*on, ¡mining ¡ 4
EUDAT services Metadata ¡Catalogue ¡ AAI ¡ PID ¡ Aggregated EUDAT metadata domain. Network of Identity Integrity ¡ Data inventory trust among ¡ authentication Authenticit and y Simple ¡Store ¡ Safe ¡Replica6on ¡ Data ¡Staging ¡ Simple ¡Store ¡ Loca*ons ¡ ¡ authorization Researcher Data curation and Dynamic actors data store ¡ access replication to HPC (simple upload, optimization workspace for share and ¡ processing access) ¡ ¡ PID metadata data
EUDAT services Seman6c ¡Anno ¡ Dynamic ¡Data ¡ EUDAT ¡Box ¡ Services ¡ checking & referencing ¡ immediate handling dropbox -‑like ¡service ¡ easy ¡sharing ¡ ¡ under ¡ ¡ local ¡synching ¡ evalua6on ¡ Dynamic Data EUDAT Box • Sync file system with • Manage ‘unfinished’ data- central storage sets: sensor data, surveys, • Support collaborative work • Metadata for DD • Only started thinking about • Cite / point using PIDs AAI
What EUDAT Services need AAI? • B2SHARE • YouTube for scientists catering for long tail data uses its own user-store • B2SAFE § iRODS & icommands, HTTP API § Data replicas stored at data-centers § Many offer access through GridFTP or iRODS & icommands § X.509 based access, certificate subject contains AUTZ attributes § But this is not interesting for many communities that prefer HTTP § HTTP API via OAUTH or CERTs tokens • B2DROP [No Logo Yet] • based on PowerFolder supporting local/ldap/ssl radius,shibboleth
Possible AAI Strategies & considerations 1. Solve everything for everyone 2. Solve many things for many people 3. Give precedence to non-IT savvy community needs 4. Rely on supported software requiring minimal adaptations 5. Avoid necessary adaptations for the communities 6. Avoid need for new central DBs EUDAT initially went for 1, 5
* IdP ¡ ¡ P d A ¡ I • zoned ¡creden*al ¡conversion ¡service ¡ ¡ B • unique ¡user ¡Ids, ¡project-‑wise ¡mapped ¡to ¡ ¡ • aRribute ¡based ¡access ¡control ¡informa*on ¡ ¡ 9 0 5 . x IdP ¡ D ¡ OpenID ¡ consolidated ¡creden*als ¡ 𝛁 𝛁 𝛁 𝛁 AtP ¡ 1 ¡ AtP ¡ 2 ¡ 𝚬 AtP ¡ 𝚬 3 ¡ Attribute Provider AuthZ either community-managed or ( ) attributes provided by user’s home IdP are reused *
Authorization Community center A • Providing access to replica DO requires the availability Community ¡ DO ¡ AUTZ ¡ of AUTZ information also! from a reliable ‘central’ (XACML) authority • Communities want to EUDAT ¡ control their own AUTZ AUTZ ¡ • Central AUTZ service synchronized with center/ DO ¡ community specific DO ¡ DATA center Y DATA center X
EUDAT Solutions 1 • Communities use: Shib, X509, … • Need for a “identity credential conversion” to a single EUDAT identity • In the FIM IDF/SAML world this requires to use of also a central user store since no unique user id is available e.g. ePTID attribute • Experimented with using Contrail – Cloud Federation computing project ran from 2010 until Jan 2014 – Homeless – Web2nonWeb e.g. OAUTH, SLCS – EUDAT credentials • Unfortunately insufficient results – Problematic necessary seeding of the contrail DB with user records – AUTZ was never proved working for any EUDAT community – Contrail software no longer supported
Contrail eduGAIN ¡or ¡ESFRI ¡SPFs ¡ AAI ¡services ¡provided ¡by ¡the ¡EUDAT ¡ EUDAT ¡ centers ¡to ¡the ¡EUDAT ¡communi*es ¡ communi*es ¡ Ins*tu*onal ¡IdP ¡ ¡ ¡ ¡ Haka ¡federa*on ¡ Contrail ¡ Community ¡ Ins*tu*onal ¡IdP ¡ homeless ¡ service ¡ ¡ ¡ ¡ ¡ (IdP ¡for ¡the ¡ (CLARIN) ¡ homeless ¡users) ¡ Ins*tu*onal ¡IdP ¡ Community ¡ ¡ ¡ ¡ Database ¡ Web2nonWeb ¡ ¡ ¡ service ¡ that ¡stores ¡ DFN-‑AAI ¡federa*on ¡ (bridge ¡to ¡non-‑ (ENES) ¡ web ¡services) ¡ ¡ everything ¡ Ins*tu*onal ¡IdP ¡ ¡ ¡ ¡ ¡ Community ¡ service ¡ Ins*tu*onal ¡IdP ¡ (EPOS) ¡ ¡ ¡ ¡ SIR.es ¡federa*on ¡ Community ¡ REMS ¡service ¡ ¡ Ins*tu*onal ¡IdP ¡ management ¡ ¡ (for ¡dataset ¡ access ¡rights) ¡ (for ¡community ¡ ¡ ¡ memberships) ¡
EUDAT solution 2 • Currently experimenting with using Unity – Cloud Identity and Federation Management part of the UNICORE grid middleware stack – Homeless – Web2nonWeb e.g. SLCS (for now via contrail) – EUDAT credentials • Results seem better, promised: – Automatic EUDAT credential creation at first login – Easy promotion from homeless to external authentication – Unity only solution in the making (SLCS) – Supported (if necessary) as part of UNICORE stack
EUDAT solution 3 • Nevertheless after the contrail experience need to be careful • Perhaps simple limited but proven solutions can be considered – More community centric – Rely on SAML federations only – Requiring ePPN with homeless IdP as alternative – Web2nonWeb as X509 should be delivered by those services that require it
Simpler distributed approach AAI ¡services ¡provided ¡by ¡the ¡EUDAT ¡ EUDAT ¡ centers ¡to ¡the ¡EUDAT ¡communi*es ¡ communi*es ¡ Orphanage ¡ ¡ Web2nonWeb ¡ eduGAIN ¡+ ¡ESFRI ¡SPFs ¡ (IdP ¡for ¡the ¡ (bridge ¡to ¡non-‑ web ¡services) ¡ ¡ homeless ¡users) ¡ Ins*tu*onal ¡IdP ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Haka ¡federa*on ¡ Community ¡ Ins*tu*onal ¡IdP ¡ service ¡ ¡ ¡ (CLARIN) ¡ Ins*tu*onal ¡IdP ¡ Community ¡ ¡ ¡ ¡ service ¡ DFN-‑AAI ¡federa*on ¡ (ENES) ¡ Ins*tu*onal ¡IdP ¡ ¡ ¡ Community ¡ service ¡ Ins*tu*onal ¡IdP ¡ (EPOS) ¡ ¡ ¡ ¡ SIR.es ¡federa*on ¡ Community ¡ REMS ¡service ¡ ¡ Ins*tu*onal ¡IdP ¡ management ¡ ¡ (for ¡dataset ¡ access ¡rights) ¡ (for ¡community ¡ ¡ ¡ memberships) ¡
Thank you for your attention
Recommend
More recommend
