Informationen zum zentralen Authentifizierungsdienst ''Shibboleth®''

Aus ITSMZ-Wiki
Wechseln zu:Navigation, Suche

Single-Sign-On mit Shibboleth

An der Hochschule Wismar kommt ab Oktober 2012 ein neues Verfahren zur zentralen Authentifizierung von Nutzern an zahlreichen Webdiensten zum Einsatz.

Dabei handelt es sich um ein so genanntes Single Sign-on System, das auf der Software Shibboleth® basiert und an vielen Hochschulen und Universitäten bereits zum Einsatz kommt. Mit diesem System müssen Sie sich nur einmalig während einer Browsersitzung mit Ihren Nutzerdaten an der Hochschule Wismar anmelden und können danach zahlreiche Webdienste ohne erneute Anmeldeprozedur verwenden.

Shibboleth® ist ein Authentifizierungs- und Autorisierungsverfahren für Webanwendungen. Die Idee von Shibboleth ist, dass sich ein Nutzer über den Server seiner Heimateinrichtung authentifiziert (Wer bin ich?) und auf dem jeweiligen Anwendungsserver entschieden wird, welche Rechte er mit dieser Identität hat (Was darf ich?) Solange das Browserfenster geöffnet ist, muss der Nutzer sich dafür selbst wenn es sich um verschiedene Server, z.B. an verschiedenen Hochschulen handelt, nicht jedes Mal erneut einloggen.

Der Authentifizierungsservice ist für alle Hochschulangehörigen (Mitarbeiter, Studenten, Gäste, ...) nutzbar. Die Zugriffsrechte (Autorisierung) auf die einzelnen Webdienste werden über entsprechende Attribute in Ihrem Nutzerprofil gesteuert. Dies wird in den folgenden Ausführungen näher erläutert.

Warum Shibboleth®?

Das Deutsche Forschungsnetz (DFN) ist bestrebt, eine Authentifikations- und Autorisierungs-Infrastruktur (AAI) zwischen Ihren Mitgliedern aufzubauen. Als Teilnehmer dieser Föderation ist die Hochschule Wismar bemüht, diesem Vorhaben nachzukommen. Dafür wird bei den teilnehmenden Partnern der Shibboleth® Single Sign-on Dienst eingesetzt.

Im Zuge dieser Umstellung ergeben sich für den Anwender und die Administratoren der Hochschule Wismar zahlreiche Vorteile, die mit der bisherigen Authentifizierungsmethode nicht erreicht werden können.

Welche Webdienste sind betroffen?

Mit der Einführung von Shibboleth® an der Hochschule Wismar wurde zunächst die Möglichkeit geschaffen, überhaupt Nutzer von Webdiensten zentral zu authentifizieren und dabei die Single Sign-on Funktionalität bereitzustellen. Nach und nach werden, sofern durchführbar, die Campusdienste an das neue Authentifizierungssystem angebunden.

Ist im Folgenden von Webdienst die Rede, so sind jene gemeint, die mit diesem neuen Anmeldesystem arbeiten.

Zu diesen Webdiensten zählen:

Wie verwende ich den neuen Anmeldedienst?

Für den Endanwender ändert sich in der Nutzung der Webdienste nichts. Lediglich der Anmeldevorgang gestaltet sich anders als bisher. Zunächst rufen Sie, wie gewohnt, den gewünschten Webdienst über Ihren Browser auf. Je nachdem, um welchen Dienst es sich handelt, kann die Anwendung eine Schaltfläche für die lokale Anmeldung, sowie eine für die separate Shibboleth®-Anmeldung bereitstellen. Ist dies der Fall, verwenden Sie als Nutzer des Webdienstes bitte das Shibboleth®-Login, um sich anzumelden. Ist nur eine Anmeldemöglichkeit vorhanden, werden Sie automatisch auf die zentrale Login-Seite verwiesen. Hier geben Sie Ihre Nutzerkennung und das dazugehörige Passwort ein.

Melden Sie sich erstmalig bei einem Webdienst an, erscheint ein weiteres Fenster, in welchem diejenigen Informationen aus Ihrem Nutzerprofil aufgeführt sind, die an den Webdienst gesendet werden. Diese Daten werden zum einen für die Zugriffskontrolle und zum anderen für das, beim Webdienst geführte, Profil verwendet. Hier müssen Sie der Übertragung Ihrer Nutzerattribute zustimmen, um den Dienst nutzen zu können. Haben Sie zugestimmt und sind Sie von der Anwendung autorisiert worden, steht Ihnen die Funktionalität des Webdienstes wie gewohnt zur Verfügung. Ihr Einverständnis können Sie auf ums.hs-wismar.de jederzeit widerrufen.

Für welche Dienste bin ich freigeschaltet?

Im User Management System (UMS - ums.hs-wismar.de) können die Hochschulangehörigen Informationen zu Ihrem Nutzerprofil abfragen und einige im geringen Umfang administrieren (z.B. das eigene Passwort ändern). Hier finden Sie zudem eine Auflistung der Dienste, zu deren Nutzung Sie berechtigt sind. Das bedeutet jedoch nicht zwangsläufig, dass diese Dienste bereits mit dem neuen Authentifizierungssystem arbeiten. Ist die Umstellung jedoch erfolgt, können Sie diesen Dienst in Verbindung mit dem Shibboleth®-Login verwenden.

Wie bereits erwähnt, finden Sie im UMS einen Bereich, der die bereits getätigten Einverständniserklärungen zur Übertragung Ihrer Nutzerdaten (Attribute) an die Diensteanbieter beinhaltet.

Was ist zu beachten?

Bei einem Single-Sign-On-System stellt sich gemeinhin die Frage, der ordnungsgemäßen Abmeldung. Nach dem erstmaligen Anmeldevorgang werden die Authentifizierungsinformationen in Form von Browser Cookies auf dem Computer gespeichert. Die Abmeldung kann dabei (derzeit) nicht explizit z.B. über einen Link erfolgen.

Die Abmeldung kann so ausschließlich durch das Schließen des Webbrowsers (inkl. aller geöffneten Fenster) erfolgen. Damit wird das Browser Cookie und die darin enthaltenen Authentifizierungsinformationen gelöscht.

Hinweis: auch wenn einzelne Webdienste der Hochschule Wismar eine Logout-Möglichkeit anbieten, so handelt es sich nur um einen lokalen Abmeldevorgang. Die Anmeldung kann danach auch weiterhin ohne erneute Eingabe Ihrer Nutzerdaten erfolgen.

Zu Ihrer Sicherheit ist die Sitzung, mit der Sie verschiedene Web-Anwendungen ohne erneuten Anmeldevorgang verwenden können, zeitlich begrenzt. Nach Ablauf dieser Zeit müssen Sie sich erneut authentifizieren.

Beispielablauf der Anmeldeprozedur

  • Hochschule Wismar Webdienst: Auf Anmelden / Login klicken:
Anmeldung
  • Anmeldeseite: Benutzerkennung und Passwort eingeben:
Eingabe der Nutzerdaten
  • Übertragung Ihrer Nutzerinformationen an den Webdienst zustimmen:
Ausgabe der betreffenden Nutzerinformationen
  • Angemeldet (sofern für den Dienst berechtigt):
Anmeldung erfolgreich

Ansprechpartner bei Problemen


Feedback & Diskussion

blog comments powered by Disqus