ALIs

kommt noch

Shibboleth - DFN-AAI

Shibboleth ist die im Hochschul- und Forschungsumfeld weit verbreitete Technik, die als Authentifikations- und Autorisierungs-Infrastruktur (AAI) für Webanwendungen dient. Dabei kann ein Benutzer mit seiner lokalen Kennung auch Dienste anderer Hochschulen und Anbieter (z.B. Bibliotheken, Softwarehändler) nutzen.

Die Software Shibboleth bildet die technische Basis, die Besitzern von aktiven LRZ-, TUMonline- und campusLMU-Kennungen ein ständig wachsendes Dienstangebot im Web eröffnet.

Merkmale und Eigenschaften von Shibboleth

  • Verteilte Authentifikation und Autorisierung: Die lokale Kennung kann zum Login sowohl für lokale Dienste als auch für Angebote anderer Einrichtungen verwendet werden (Föderiertes Identitätsmanagement, FIM).
  • Webanwendungen: Shibboleth ist ausschließlich für Webanwendungen einsetzbar (nicht z.B. zur Anmeldung an CIP-Pools). Neben Hochschulangeboten (Portale, Wikis, Learning-Systeme etc.) nutzen auch kommerzielle Anbieter Shibboleth (z.B. Online-Verlagsangebote, Softwarevertrieb)
  • Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen nutzbar, auch bei anderen Einrichtungen.
  • Datenschutz: Der Benutzer kann seine persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.
  • Föderation: Verteilte Authentifikation erfordert ein noch höheres Maß an Sicherheit, Vertraulichkeit und Verlässlichkeit der Systeme als eine einrichtungslokale Lösung. In Deutschland sind deshalb Hochschulen und Forschungseinrichtungen in der DFN-AAI-Föderation zusammengeschlossen. Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.

Technik von Shibboleth

Shibboleth umfasst sogenannte Identity Provider (IdP) und Service Provider (SP). Identity Provider sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle, Login) und relevante Informationen für die Autorisierung (Zugangsberechtigung) gelangen über das SAML (Security Assertion Markup Language) zum Service Provider, auf dessen Seite die Webanwendung läuft. Möchte ein Benutzer eine solche Anwendung betreten, wird er (zumindest erstmalig) zu einem WAYF-Service ("where are you from") geleitet, wo er seine Heimatorganisation auswählt und zu dieser weitergeleitet wird. Das Login erfolgt also ausschließlich an der Login-Maske der Heimatorganisation (des lokalen IdP), was gegenüber herkömmlichen Logins an jeder einzelnen Webanwendung einen großer Sicherheitsfortschritt darstellt: Passwörter (und meist auch die lokalen Kennungen) gelangen nicht mehr zu den Webanwendungen und den dahinter laufenden fremden Systemen.

Identity Provider im Münchner Wissenschaftsnetz

Das LRZ hat einen eigenen Identity Provider (LRZ-IdP) zur Authentifikation aller aktiven LRZ-Kennungen. Daneben betreibt das LRZ auch die Identity Provider der TUM und der LMU. Identitiäten sind alle aktiven Kennungen aus TUMonline bzw. CampusLMU. Um den vollen Berechtigungsumfang (Autorisierung als immatrikulierter Student, aktiver Mitarbeiter etc.) in den Anwendungen zu erhalten, sollten TUM- bzw. LMU-Angehörige im WAYF-Service deshalb immer ihre Universität (und nicht das LRZ) auswählen:

DFN-AAI WAYF-Service

Projekte