Shibboleth

Dienstbeschreibung

Shibboleth ist eine vom Internet2/MACE entwickelte Software, die eine verteilte Authentifikations- und Autorisierungsinfrastruktur (AAI) implementiert. Diese ermöglicht dem Nutzer einen einheitlichen Zugriff auf Ressourcen, die von unterschiedlichen Anbietern, den sogenannten Service Providern (SPs), im Internet bereitgestellt werden.

Die Prüfung der Anmeldedaten (Authentifizierung) erfolgt nicht durch den SP, sondern wird an die Heimateinrichtung des Nutzers delegiert, die dafür einen Identity Provider (IdP) bereitstellt. Für den Anbieter entfällt das Führen eine Benutzerverwaltung und die Anmeldedaten verbleiben bei der Heimateinrichtung. Ob und in welchem Umfang Zugriff auf Ressourcen gewährt wird, entscheidet der SP anhand der vom IdP nach erfolgreicher Anmeldung bereitgestellten Daten (Autorisierung).

Die Betreiber von SPs und IdPs können sich in Föderationen zusammenschließen, um die gemeinsamen Interessen zu vertreten und zu koordinieren. Die Universität Erfurt ist Mitglied in der DFN-AAI, der Authentifizierungs- und Autorisierungsinfrastruktur des DFN-Vereins und erfüllt die höchste Verlässlichkeitsklasse Advanced.

Mitglieder der DFN-AAI verpflichten sich vertraglich zur Einhaltung festgelegter Kriterien bezüglich des Austausches von Daten und der Verlässlichkeit (Aktualität) des Datenbestandes. Der DFN-Verein betreibt einen Lokalisierungsdienst, der die Auswahl der Heimateinrichtung innerhalb der Föderation ermöglicht. In der zentralen Metadatenverwaltung werden die Daten der Mitglieder (URLs) gemäß Ihrer Verlässlichkeitsklassen und -anforderungen erfasst.

Service-Zielgruppe:

Basisdienst

Voraussetzung für die Nutzung des Dienstes:

  • gültige Logindaten der Universität Erfurt
  • Zustimmung der Teilnahmebedingungen

Service-Verantwortliche/r:

Matthias Kühm

Anträge/Dokumente

Teilnahmebedingungen

Funktionsweise

Erfolgt der Zugriff auf eine geschützte Ressource (Dokumente, Dateien etc.) über einen Web-Browser, prüft der SP des Anbieters, ob der Nutzer im Rahmen der laufenden Browser-Sitzung bereits authentifiziert ist. Ist das nicht der Fall, so erfolgt die Weiterleitung zu einem Lokalisierungsdienst. Je nach Anbieter können mehrere Dienste zur Auswahl stehen. Hier ist zunächst die DFN-AAI auszuwählen und anschließend als Heimateinrichtung die Universität Erfurt.

Mit der Auswahl der Heimateinrichtung erfolgt die Weiterleitung zum IdP der Universität Erfurt. Hier sind die Anmeldedaten des Uni-Kontos (u.a. PC-Anmeldung) einzugeben und werden vom IdP überprüft. Ist die Anmeldung erfolgreich, so erfolgt die Weiterleitung zur geschützten Ressource des Anbieters.

Die Verwaltung der Sitzung erfolgt über den Browser.

Eine explizite Abmeldung vom Dienst Shibboleth nach erfolgter Anmeldung ist  nicht möglich. Erst durch das Schließen des Browsers (aller Fenster!) wird die Sitzung beendet, so dass bei erneutem Aufruf der geschützten Seite wieder eine Anmeldung erforderlich ist.

Datenschutz

Die Weiterleitung zum SP enthält Daten in Form von Attributen, die für die Autorisierung des Zugriffs durch den SP ausgewertet werden. Vor der ersten Übertragung an den SP werden die Attribute in Form der Digitalen Visitenkarte aufgelistet und der Nutzer muss der Weitergabe an den SP zustimmen. Die Zustimmung wird in einer Datenbank hinterlegt und bei zukünftigen Anmeldungen für diesen SP nicht mehr angezeigt.

Eine bereits erteilte Zustimmung kann für den auf der Anmeldemaske des IdP angezeigten Anbieter widerrufen werden, wenn der Haken bei Attributfreigabe für Dienstanbieter widerrufen gesetzt wird. Die zu übertragenden Attribute werden anschließend erneut angezeigt und die Zustimmung zur Weitergabe eingefordert.

Unterstütze Anbieter

Grundsätzlich werden alle Dienstanbieter der DFN-AAI unterstützt. In der Grundkonfiguration erlaubt der IdP allerdings nur die Weitergabe anonymer Daten, die für den SP keinen Rückschluss auf den angemeldeten Nutzer zulassen. Für Anbieter, die zusätzliche personenbezogene Daten benötigen, erfolgt die Freigabe nach Prüfung der Anforderungen durch das URMZ.

Aktuell werden eine Reihe von Anbietern unterstützt, deren Ressourcen durch die Universitätsbibliothek lizenziert wurden. Eine Auflistung der Anbieter findet sich auf den Seiten der UB.