Shibboleth Authentifizierungssystem

Was ist das?

Shibboleth ist eine Software, mit der man sich an externen Diensten im Internet anmelden kann.

Es werden dabei die Anmeldedaten des Benutzerkontos an der Hochschule verwendet.

Sie müssen sich keinen weiteren Anmeldenamen und Passwörter merken.

Die Authentifizierung erfolgt auf einem Server unserer Hochschule.

Passwortdaten werden nicht übertragen.

Attribute wie Anmeldenamen, Vorname, Nachname und E-Mailadresse werden wenn notwendig an den Diensteanbieter für die Erstellung des Kontos auf dem Dienstserver übertragen.

Die verwendeten Attribute und Werte werden ihnen angezeigt.

Sie müssen der Übertragung der Daten pro Diensteanbieter mindestens einmal zustimmen.

Die Anmeldung / Datenübertragung erfolgt verschlüsselt.

Wie funktioniert das?

Voraussetzung

Für dieses Anmeldeverfahren müssen Sie SP und IdP gegenseitig freischalten und sich über Umfang und Inhalt der zu übertragenden personenbezogenen Benutzerattribute abstimmen.

Für die sichere verschlüsselte Datenübertragung werden Zertifikte benutzt.

Das Produkt ist bei allen 3 beteiligten Stellen im Einsatz:

Diensteanbieter (ServiceProvider / SP)

  • Bietet Dienst im Internet mit beschränkten Zugang für Einrichtungen "außerhalb" an.
  • Möchte keine aufwendigen Verfahren zur Verifizierung der Zugriffsberechtigung der Personen dieser Einrichtungen betreiben.
  • Leitet Anmeldeanfrage über Discovery Service an dein IdP der Einrichtung des Benutzers.
  • Stellt den angebotenen Dienst nach erfolgreicher Authentifizierung zur Verfügung.
  • Entscheidet gegebenenfalls über den Umfang der angebotenen Dienste (Berechtigungsgruppen).

Authentifizierungsstelle (IdentityProvider / IdP)

  • Ist ein gesicherter dedizierter Server mit Anbindung an die Anmeldestruktur der Nutzer einer Einrichtung.
  • Prüft mit Anmeldeverfahren lokal die Legitimität der anmeldenten Person.
  • Bestätigt die Legitimität der Anmeldung an den SP.
  • Gibt Attribute für die Kontogenerierung oder Gruppenzugehörigkeit an den SP zurück.

Lokalisierungs Dienst (Discovery Service)

  • Registrierungsstelle für SPs und IdP
  • Verifiziert die Echtheit der Zertifikate der registrierten Teilnehmer
  • Vermittelt Anfragen weiter an den IdP
  • Definiert "Verlässlichkeitsklassen" der Benutzerdaten der Einrichtungen

Service Anbietern, bei denen der Anwender eine personalisierte Umgebung hat, legen im Prinzip bei  der Erstanmeldung ein neues Konto vor Ort an. Die übertragenen Attribute werden benötigt, um den Benutzer eine Eindeutigkeit zu geben "Benutzer ABC von der Einrichtung XYZ". Des weiteren werden Attribute übertragen, um das neue Konto z. B. mit dem Namen des Benutzers und einer E-Mailadresse für Rückmeldungen zu personalisieren. Passwörter werden nicht gespeichert, da die "noch Gültigkeit" eines Konto über die Shibboleth Anmeldung erfolgt.

Alternativ kann auch nur die Zuordung zu einer Berechtigungsgruppe erfolgen. Der Service Anbieter kann hier nachprüfen, ob oder welchen Berechtigungsumfang im Zugriff er gibt.

Die Software Shibboleth ist eine freie "Open Source" Software. Ein technische Erklärung zu Ablauf einer Anmeldung mit Hilfe von Shibboleth finden Sie in Wikipedia.

Einsatz hier an der Hochschule

Die Hochschule Ludwigshafen setzt Shibboleth unterhalb der DFN-AAI Förderation (Authentifikations- und Autorisierungs-Infrastruktur) des DFN Vereins ein (Deutsches Forschungs Netz).

Informationen zu Shibboleth finden Sie auch unter: https://www.shibboleth.net

Informationen zur DFN-AAI finden Sie auch unter: https://www.aai.dfn.de

Wie nutze ich Shibboleth

Im Folgenden ein Beispiel anhand des Lernmanagementsystems OLAT.

Wenn Sie einen Dienst nutzen möchten, welcher die Authentifizierung über Shibboleth unterstützt, wählen Sie diese Möglichkeit aus. Im Fall von OLAT erfolgt die Anmeldung via Shibboleth über das Register „Mit Hochschul-Kennung“.

Auswahlfenster Anmeldevariante

ACHTUNG!

Je nach Diensteanbieter kann der Name für eine Authentifizierung über Shibboleth variieren. Achten Sie daher auf den Login-Seiten der Diensteanbieter auf Begriffe wie zum Beispiel:

  • Shibboleth
  • DFN-AAI
  • Login über Institution

 

Anschließend die Hochschule Ludwigshafen am Rhein für die Authentifizierung auswählen.

Dropdown Auswahlmenü Einrichtung für Anmeldung wählen

Sie werden auf die Shibboleth Anmeldeseite der Hochschule Ludwigshafen am Rhein weitergeleitet. Hier geben Sie Ihren Benutzernamen und Passwort für unsere Domäne CAMPUS ein (bei Studierenden ist der Benutzername beispielsweise die Matrikelnummer).

Anmeldeseite der Hochschule - Eingabe der Anmeldedaten

Auf der nachfolgenden Seite werden nochmals alle Informationen aufgelistet, die für die Nutzung des Dienstes an den Service Provider übermittelt werden. Erst wenn Sie die Übermittlung akzeptieren, werden die Daten weitergeleitet und Sie werden anschließend am Dienst angemeldet.

Informationsseite welche Personenbezogenen Daten an Service Dienstleister übertragen werden

Angebundene Einrichtungen

DienstanbieterZugangBeschreibung
OLAT beim Virtuellen Campus Rheinland Pfalz (VCRP)offenE-Learning Plattform
PANOPTO Instanz des VCRPoffenVideo Content Management
Seafile der Universitäten und Hochschulen Rheinland-PfalzoffenCloudspeicher
DFN Webkonferenzsystem    Anmeldung AAIBenutzergruppe StaffAdobe Connect
Glocal Campus der TU IlmenauoffenMoodle E-Learning Plattform (Kooperations Projekt)
Alfresco der Hochschule TrieroffenContent Management System
Mantis beim ZIT-RLPdefinierte BenutzerTicketsystem für Anfragen / Störungen
ZENDAS (Zentrale Datenschutzstelle der Universitäten BW)Benutzergruppe StaffInfosystem (offen innerhalb des Hochschulnetzwerks)
DATEV SelbstlernangebotoffenSchulungssystem zu Rechnungswesen und Steuern
Asknet Software Webshop
Studenten studyhouse.de
Mitarbeiter academic-center.de

Benutzergruppen
Student
Employee

Verifikation der Zugehörigkeit zur Hochschule für den Bezug von Software zu "Forschung und Lehre" Konditionen

Geplante Anbindungen:

momentan keine weiteren Anbindungen geplant

Klassifizierung der Zugehörigkeit zur Organisation

Attribut eduPersonAffiliation

Mit diesem Attribut werden die Zugehörigkeitsklassen einer Person übermittelt. Die folgenden Werte sind definiert:
   faculty, student, staff, emloyee, member, affilliate

Der Serviceprovider kann bei sich festlegen, ob der Benutzer einer Organisation anhand seiner Gruppenzuordung generell Zugriff oder welchen Servicelevel er erhält.

Die Zuordnung ist folgendermaßen festgelegt:

facultystudent staff employeememberaffiliate

Studenten

    X     X
Professoren / Dozenten (angestellt)    X      X     X
Angestellte Mitarbeiter   X      X     X
Lehrbeauftragte (extern)    X      X     X
Externe Dienstleister     X
Gastdozent / Besucher     X