DE  |  EN
ZUSTÄNDIGKEIT

Shibboleth-Single-Sign-On wird vom Zentrum für Medien und Informationstechnologie (MIT) der Pädagogischen Hochschule Ludwigsburg betrieben. Dabei gelten die Bestimmungen zum Datenschutz der DFN-AAI.

Generelle Informationen zum Datenschutz an der PH Ludwigsburg entnehmen Sie bitte der Datenschutzerklärung.

WAS PASSIERT BEI SHIBBOLETH – ÜBERBLICK DES VERFAHRENS

Beim Shibboleth-Single-Sign-On Verfahren geschehen bei einer Nutzeranmeldung bei einem Anbieter (Service-Provider, geschützte Anwendung) in der Regel drei Dinge:

  1. Ein Nutzer authentifiziert sich.
  2. Es wird ein Browser-SSO-Token generiert.
  3. Es findet eine Autorisierung für die geschützte Anwendung statt.

Zu 1., Authentifizierung

Durch Eingabe von Nutzername und Passwort beim Shibboleth-Identity-Provider (IdP) wird festgestellt, ob es sich bei dem Nutzer um denjenigen handelt, den er vorgibt zu sein. Der geschützten Anwendung (dem Service-Provider, Anbieter) wird dabei nur mitgeteilt, dass sich ein Nutzer erfolgreich authentifiziert hat: "Ja, der Nutzer ist bei der PH Ludwigsburg bekannt und er ist derjenige, der er vorgibt zu sein". Dabei wird nicht zurückgeliefert, wer der Nutzer tatsächlich ist. Er bleibt gegenüber dem Anbieter anonym.

Zu 2., Browser-Token

Der Webbrowser des Nutzers erhält ein Token, so dass sich der Nutzer bei einem Zugriff auf eine weitere geschützte Anwendung nicht nochmals beim IdP authentifizieren muss. Dies ist das Single-Sign-On-Feature von Shibboleth.

Das Token ist für eine bestimmte Zeitspanne gültig. Die Gültigkeit endet jedoch spätestens dann, wenn der Browser (die Session) geschlossen wird. Shibboleth kennt derzeit noch kein Single-Log-Out.

Bitte schließen Sie daher an öffentlich zugänglichen Rechnern den Webbrowser, um sich vom Single-Sign-On abzumelden und so den Missbrauch Ihres Kontos zu verhindern!

Zu 3., Autorisierung durch Attributsabfragen

Nach erfolgter Authentifizierung eines Nutzers kann eine geschützte Anwendung (ein Service-Provider, Anbieter) beim IdP weitere Attribute des Nutzers abfragen. Aus den Werten dieser zurückgegebenen Attribute kann ein Anbieter dann ableiten, was der Nutzer bei diesem Anbieter darf (Autorisierung). Die Identität des Nutzers bleibt dem Anbieter dabei weiterhin unbekannt.

To top

ATTRIBUTSVERGABE DES IDPS DER PH LUDWIGSBURG

Die Shibboleth Identity-Provider lassen eine Authentifizierung für alle Service-Provider der DFN-AAI (Föderationen Test, Basic und Advanced) zu. Die zwei Attribute eduPersonScopedAffilliation und eduPersonEntitlement aus dem Attributsschema eduPerson sind ebenfalls für alle Service-Provider der DFN-AAI (Föderationen Test, Basic und Advanced) zur Abfrage freigegeben.

Je nach Zugehörigkeitsstatus des Nutzers zur Hochschule können die Attribute folgende Werte annehmen:

IdP der PH Ludwigsburg

eduPersonScopedAffiliation eines von

eduPersonEntitlement wird für alle Nutzer, die im Attribut eduPersonScopedAffiliation den Wert member@lb.ph-ludwigsburg.de haben, mit dem Wert urn:mace:dir:entitlement:common-lib-terms belegt. Ansonsten bleibt das Attribut leer.

To top

ABSCHLIESSENDES BEISPIEL

Dieses Beispiel dient allein der Darstellung des systematischen Ablaufs einer Shibboleth-SSO-Session aus Nutzersicht und dem dabei auftretenden Datenaustausch.

Angenommen, Sie sind Studierender der PH Ludwigsburg am Standort Ludwigsburg und möchten zunächst Online-Datenbanken beim Anbieter A nutzen:

Danach möchten Sie sich eine Software von einem (Software-)Anbieter B herunterladen. Dieser Download ist für Studierende einer deutschen Hochschule kostenlos. Sie benutzen noch dieselbe Browser-Session wie beim obigen Datenbank-Zugriff.

Deshalb nochmals der Hinweis:

Schließen Sie an öffentlich zugänglichen Rechnern den Webbrowser, um sich vom Single-Sign-On abzumelden und so den Missbrauch Ihres Kontos zu verhindern!

Als Komplettierung des Beispiels eine Variation: Hätte ein Mitarbeiter der PH Ludwigsburg die obigen Aktionen durchgeführt, wäre der Ablauf bis auf die letzten beiden Schritte derselbe gewesen. Im vorletzten Schritt hätte der IdP als Wert employee@lb.ph-ludwigsburg.de zurückgeliefert. Im letzten Schritt hätte Anbieter B daraus geschlossen, dass der Nutzer kein Studierender einer deutschen Hochschule ist und den kostenlosen Download verweigert. Der Nutzer wäre zwar authentifiziert (gültiges Browser-Token), für den Download beim Anbieter aber nicht autorisiert.

To top

ZENTRUM FÜR MEDIEN UND INFORMATIONSTECHNOLOGIE (MIT) 
SEARCH
Zentrum für Medien und Informationstechnologie (MIT) > Infos zum IT-Service > Allgemein > Shibboleth Single-Sign-On > Datenschutz beim Shibboleth-SSO
Startseite   Download Zentrum  Sitemap  KontaktLogin

DruckansichtDruckansicht