In der zweiten Folge unserer Reihe „Pioniere der digitalen Identitäten” spricht Rahul mit Konstantinos Georgioullakis von GRNet über die Implementierung von Keycloak für die European Open Science Cloud. Erfahre, wie dieser führende griechische Anbieter digitaler Infrastruktur den Zugang zu wertvollen Forschungsressourcen sichert und gleichzeitig die Zugänglichkeit gewährleistet.
⏱ Lesezeit: 6 Minuten
Pioniere der digitalen Identitäten: Sicherung des Forschungszugangs mit Konstantinos Georgioullakis von GRNet
Rahul: Hast du schon einmal versucht, online Zugang zu Spitzenforschung zu erhalten? Manchmal hat man das Gefühl, dass man einen geheimen Handschlag oder einen Decodierring braucht, um überhaupt loslegen zu können.
Konstantinos: Ich weiß, was du meinst. Hinter den Kulissen wird viel wichtige Arbeit geleistet, insbesondere bei Initiativen wie der European Open Science Cloud. Damit alles funktioniert, ist eine sichere und einfache Identitätsverwaltung unerlässlich.
Rahul: Genau das untersuchen wir heute. Könntest du uns zunächst etwas über GRNet und deine spezifische Rolle dort erzählen?
Konstantinos: GRNet ist im Wesentlichen Griechenlands führender Anbieter digitaler Infrastruktur für die akademische Forschung und den öffentlichen Sektor. Wir kümmern uns um wichtige Dienste wie Netzwerke, Cloud Computing und die grundlegende Infrastruktur, die es diesen Organisationen ermöglicht, effektiv zu arbeiten und Daten auszutauschen.
Mein Team hat eine ganz bestimmte Aufgabe: Forschungsressourcen innerhalb der EOSC – der European Open Science Cloud – für verschiedene Nutzergruppen zugänglich zu machen. Wir sprechen hier von allen, von Forschern und politischen Entscheidungsträgern bis hin zu Innovatoren und sogar normalen Bürgern. Unser Ziel ist es, sicherzustellen, dass jeder von diesen Ressourcen profitieren kann, wobei Keycloak der Schlüssel zu diesem nahtlosen Zugang ist.
Rahul: Ich habe gehört, dass GRNet nicht immer Keycloak verwendet hat. Was hat dich zu diesem Wechsel bewogen?
Konstantinos: Wir haben eine sehr bewusste Entscheidung getroffen, die auf mehreren Faktoren beruhte. Einer der größten Pluspunkte war die unglaublich aktive und lebendige Community von Keycloak. Da es sich um Open Source handelt, tragen Entwickler und Nutzer ständig dazu bei, es zu verbessern, was schnellere Reaktionen auf Sicherheitslücken und eine schnellere Implementierung neuer Standards bedeutet.
Die Tatsache, dass es sich um Open Source handelt, passt auch perfekt zur Philosophie von GRNet – wir haben uns der Nutzung und Weiterentwicklung offener Technologien verschrieben. Über diese philosophische Übereinstimmung hinaus bot Keycloak eine beeindruckende Bandbreite an Funktionen, insbesondere für OAuth- und OIDC-Spezifikationen.
Rahul: Könntest du, für diejenigen, die damit vielleicht nicht vertraut sind, kurz erklären, worum es bei OAuth geht?
Konstantinos: Das muss man sich so vorstellen: Mit OAuth kannst du einer App die Berechtigung erteilen, auf deine Daten in einer anderen App zuzugreifen, ohne dein tatsächliches Passwort weiterzugeben. Es geht darum, den Zugriff auf deine Daten zu kontrollieren, und Keycloak bietet ein robustes Framework für die Verwaltung dieser Art von Zugriff.
Wir haben auch enorm vom Erweiterungssystem von Keycloak profitiert. Wir haben unsere eigenen benutzerdefinierten Erweiterungen entwickelt, um spezifische Anforderungen innerhalb der akademischen Gemeinschaft zu erfüllen. Tatsächlich arbeiten wir derzeit daran, zwei weitere GRNet-Systeme auf eine Konfiguration umzustellen, bei der sie ausschließlich Keycloak verwenden, wobei wir eine unserer internen Erweiterungen einsetzen, um dies zu erreichen.
Rahul: Sicherheit ist natürlich von größter Bedeutung, wenn es um Forschungsdaten geht. Wie nutzt GRNet Keycloak, um sicherzustellen, dass nur autorisierte Benutzer auf sensible Informationen zugreifen können?
Konstantinos: Wir implementieren mehrere Sicherheitsebenen. Erstens ist der Zugriff auf unsere Keycloak-Server, Datenbanken und zugehörigen Dienste streng beschränkt – er ist nur über das interne VPN von GRNet möglich.
Rahul: Ein virtuelles privates Netzwerk, das einen sicheren Tunnel für den Netzwerkverkehr erstellt?
Konstantinos: Genau. Und um es noch sicherer zu machen, ist der Zugriff mit speziellen digitalen Schlüsseln geschützt – man braucht diese Schlüssel, um sozusagen „die Tür zu öffnen”.
Wir haben auch Systeme, die aktiv nach verdächtigen Aktivitäten wie potenziellen Denial-of-Service-Angriffen suchen. Wenn wir etwas Verdächtiges entdecken, ergreifen wir sofort Maßnahmen, um es zu stoppen. Wir arbeiten sehr eng mit den speziellen Sicherheitsteams von GRNet zusammen, um Schwachstellen ständig zu bewerten und neuen Bedrohungen immer einen Schritt voraus zu sein.
Regelmäßige Updates unserer virtuellen Maschinen stellen sicher, dass wir über die neuesten Sicherheitspatches verfügen. Wir sorgen auch für Transparenz gegenüber unseren Nutzern hinsichtlich unserer Richtlinien zur Datenaufbewahrung – in der Regel speichern wir Daten etwa anderthalb Jahre lang, bevor sie automatisch gelöscht werden – eine Funktion, die direkt in Keycloak integriert ist.
Rahul: Wie sieht die Zukunft für Keycloak innerhalb der EOSC aus? Gibt es bedeutende Herausforderungen oder Chancen, die sich abzeichnen?
Konstantinos: Die Landschaft entwickelt sich ständig weiter. Wir müssen neuere OAuth-Protokolle implementieren, sobald sie ausgereift sind. Ich interessiere mich besonders für OIDC4VC – OpenID Connect for Verifiable Credentials.
Rahul: Worum geht es dabei?
Konstantinos: Es handelt sich noch um einen Bereich, der sich in der Entwicklung befindet, aber er konzentriert sich darauf, Menschen mehr Kontrolle über ihre digitalen Identitäten und deren Darstellung beim Zugriff auf Ressourcen zu geben. Anstelle der Verwendung eines Benutzernamens und eines Passworts könntest du über digital signierte Anmeldedaten verfügen, die bestimmte Dinge nachweisen.
Rahul: Was hat es damit auf sich?
Konstantinos: Es handelt sich noch um einen Bereich, der sich in der Entwicklung befindet, aber er konzentriert sich darauf, Menschen mehr Kontrolle über ihre digitalen Identitäten und deren Darstellung beim Zugriff auf Ressourcen zu geben. Anstelle der Verwendung eines Benutzernamens und eines Passworts könnte man über digital signierte Anmeldedaten verfügen, die bestimmte Dinge über einen belegen – wie einen digitalen Führerschein oder einen Hochschulabschluss, die jedoch verifiziert und sicher sind.
Ich verfolge auch die Entwicklungen mit der OpenID Federation-Spezifikation. Derzeit ist sie als Erweiterung in Keycloak implementiert, aber innerhalb der Community gibt es erhebliche Diskussionen darüber, sie direkt in das Kernprodukt zu integrieren.
Rahul: Wie würdest du OpenID Federation jemandem erklären, der mit dem Konzept noch nicht vertraut ist?
Konstantinos: Stell dir das als eine Möglichkeit für verschiedene Organisationen vor, die alle OpenID Connect verwenden – eine Standardmethode zur Überprüfung der Identität von Benutzern –, um leichter Vertrauensbeziehungen aufzubauen. Es geht darum, eine nahtlose Interoperabilität zwischen verschiedenen Systemen zu ermöglichen, was in einer föderierten Umgebung wie EOSC, in der Forscher aus verschiedenen Institutionen reibungslos zusammenarbeiten müssen, von entscheidender Bedeutung ist.
Rahul: Ich habe gehört, dass du auf dem Keycloak Dev Day 2025 einen Vortrag gehalten hast. Kannst du uns etwas über deinen Vortrag erzählen?
Konstantinos: Mein Kollege Andreas Kozadinos und ich hielten einen Vortrag mit dem Titel „Verbesserung der Gruppenverwaltung in Keycloak: Eine flexible Erweiterung für die dynamische Mitgliederverwaltung”. Wir sprachen über die besonderen Herausforderungen, denen wir bei der Verwaltung des Zugriffs für verschiedene Gruppen von Forschern und Interessengruppen innerhalb der EOSC gegenüberstehen, wo sich die Mitgliedschaften häufig ändern können.
Rahul: Was würdest du jemandem raten, der Keycloak noch nicht kennt und sich von seiner Komplexität überwältigt fühlt?
Konstantinos: Keycloak ist zwar unglaublich leistungsstark und vielseitig, aber es ist ein großes Projekt, das auf den ersten Blick einschüchternd wirken kann. Meine wichtigste Empfehlung ist, sich intensiv mit der offiziellen Dokumentation zu beschäftigen – das sollte der erste Schritt sein. Sie ist die Grundlage für das Verständnis, wie alles zusammenpasst.
Geh schrittweise vor und beginne mit den Kernfunktionen und deren Anwendung auf deine spezifischen Dienste oder Anwendungen. Wer daran denkt, Code zu dem Projekt beizusteuern, sollte die Dokumentation sorgfältig studieren. Die Dokumentation auf Code-Ebene könnte noch verbessert werden – daran wird gearbeitet, aber es ist ein großes Projekt.
Ich empfehle auch dringend, an Veranstaltungen wie dem Keycloak Dev Day teilzunehmen. Das ist eine hervorragende Möglichkeit, mit anderen in Kontakt zu treten und von ihren Erfahrungen zu lernen. Denk daran, dass das Beherrschen von Keycloak eine Reise ist, kein Ziel.
Rahul: Das ist ein ausgezeichneter Ratschlag. Zum Abschluss: Was ist deiner Meinung nach der bedeutendste Einfluss deiner Arbeit mit Keycloak auf die Forschungsgemeinschaft?
Konstantinos: Unsere Implementierung trägt dazu bei, Barrieren für die wissenschaftliche Zusammenarbeit abzubauen, indem sie einen sicheren, nahtlosen Zugang zu Forschungsressourcen ermöglicht. Dank der Open-Source-Natur können andere Organisationen von unserer Arbeit profitieren und dazu beitragen, wodurch ein positiver Verbesserungszyklus entsteht, der der gesamten Gemeinschaft zugutekommt.
Letztendlich tragen wir dazu bei, die Vision der European Open Science Cloud zu verwirklichen – wertvolle Forschungsergebnisse zugänglicher zu machen und gleichzeitig strenge Sicherheitsstandards einzuhalten. Identitätsmanagement ist nicht nur eine technische Herausforderung, sondern ermöglicht auch die Art von Zusammenarbeit, die den wissenschaftlichen Fortschritt vorantreibt.
Rahul: Vielen Dank für diese Einblicke, Konstantinos. Deine Arbeit zeigt, welche entscheidende Rolle das Identitätsmanagement in der modernen Forschungsinfrastruktur spielt.
Konstantinos: Vielen Dank für die Gelegenheit, über diese wichtigen Entwicklungen zu sprechen. Ich möchte alle dazu ermutigen, sich damit zu beschäftigen, wie Open-Source-Lösungen wie Keycloak Herausforderungen im Bereich Identitätsmanagement bewältigen können.
Dieses Interview wurde aus Gründen der Übersichtlichkeit und Länge bearbeitet. Seid gespannt auf die nächste Folge unserer Reihe „Pioniere der digitalen Identitäten“, in der wir uns weiter mit den Technologien und Standards befassen, die das digitale Identitätsmanagement verändern!
