Logo Pädagogische Hochschule Ludwigsburg

http://www.ph-ludwigsburg.de/10595.1.html

05-12-2020

Datenschutz beim Shibboleth-SSO

ZUSTÄNDIGKEIT

Shibboleth-Single-Sign-On wird vom Zentrum für Medien und Informationstechnologie (MIT) der Pädagogischen Hochschule Ludwigsburg betrieben. Dabei gelten die Bestimmungen zum Datenschutz der DFN-AAI.

Generelle Informationen zum Datenschutz an der PH Ludwigsburg entnehmen Sie bitte der Datenschutzerklärung.

WAS PASSIERT BEI SHIBBOLETH – ÜBERBLICK DES VERFAHRENS

Beim Shibboleth-Single-Sign-On Verfahren geschehen bei einer Nutzeranmeldung bei einem Anbieter (Service-Provider, geschützte Anwendung) in der Regel drei Dinge:

  1. Ein Nutzer authentifiziert sich.
  2. Es wird ein Browser-SSO-Token generiert.
  3. Es findet eine Autorisierung für die geschützte Anwendung statt.

Zu 1., Authentifizierung

Durch Eingabe von Nutzername und Passwort beim Shibboleth-Identity-Provider (IdP) wird festgestellt, ob es sich bei dem Nutzer um denjenigen handelt, den er vorgibt zu sein. Der geschützten Anwendung (dem Service-Provider, Anbieter) wird dabei nur mitgeteilt, dass sich ein Nutzer erfolgreich authentifiziert hat: "Ja, der Nutzer ist bei der PH Ludwigsburg bekannt und er ist derjenige, der er vorgibt zu sein". Dabei wird nicht zurückgeliefert, wer der Nutzer tatsächlich ist. Er bleibt gegenüber dem Anbieter anonym.

Zu 2., Browser-Token

Der Webbrowser des Nutzers erhält ein Token, so dass sich der Nutzer bei einem Zugriff auf eine weitere geschützte Anwendung nicht nochmals beim IdP authentifizieren muss. Dies ist das Single-Sign-On-Feature von Shibboleth.

Das Token ist für eine bestimmte Zeitspanne gültig. Die Gültigkeit endet jedoch spätestens dann, wenn der Browser (die Session) geschlossen wird. Shibboleth kennt derzeit noch kein Single-Log-Out.

Bitte schließen Sie daher an öffentlich zugänglichen Rechnern den Webbrowser, um sich vom Single-Sign-On abzumelden und so den Missbrauch Ihres Kontos zu verhindern!

Zu 3., Autorisierung durch Attributsabfragen

Nach erfolgter Authentifizierung eines Nutzers kann eine geschützte Anwendung (ein Service-Provider, Anbieter) beim IdP weitere Attribute des Nutzers abfragen. Aus den Werten dieser zurückgegebenen Attribute kann ein Anbieter dann ableiten, was der Nutzer bei diesem Anbieter darf (Autorisierung). Die Identität des Nutzers bleibt dem Anbieter dabei weiterhin unbekannt.

Nach oben

ATTRIBUTSVERGABE DES IDPS DER PH LUDWIGSBURG

Die Shibboleth Identity-Provider lassen eine Authentifizierung für alle Service-Provider der DFN-AAI (Föderationen Test, Basic und Advanced) zu. Die zwei Attribute eduPersonScopedAffilliation und eduPersonEntitlement aus dem Attributsschema eduPerson sind ebenfalls für alle Service-Provider der DFN-AAI (Föderationen Test, Basic und Advanced) zur Abfrage freigegeben.

Je nach Zugehörigkeitsstatus des Nutzers zur Hochschule können die Attribute folgende Werte annehmen:

IdP der PH Ludwigsburg

eduPersonScopedAffiliation eines von

  • affiliate@lb.ph-ludwigsburg.de (kein Mitglied der Fakultäten 1 oder 2, kein Mitarbeiter einer zentralen Einrichtung oder der Verwaltung am Standort Ludwigsburg, Mitglieder der Fakultät 3 oder Mitarbeiter am Standort Reutlingen)
  • employee@lb.ph-ludwigsburg.de und member@lb.ph-ludwigsburg.de (Hochschulbeschäftigter mit Mitgliedsstatus am Standort Ludwigsburg: Fakultäten 1 oder 2, Zentrale Einrichtungen oder Verwaltung am Standort Ludwigsburg)
  • student@lb.ph-ludwigsburg.de und member@lb.ph-ludwigsburg.de (Studierende der Fakultäten 1 und 2)  

eduPersonEntitlement wird für alle Nutzer, die im Attribut eduPersonScopedAffiliation den Wert member@lb.ph-ludwigsburg.de haben, mit dem Wert urn:mace:dir:entitlement:common-lib-terms belegt. Ansonsten bleibt das Attribut leer.

Nach oben

ABSCHLIESSENDES BEISPIEL

Dieses Beispiel dient allein der Darstellung des systematischen Ablaufs einer Shibboleth-SSO-Session aus Nutzersicht und dem dabei auftretenden Datenaustausch.

Angenommen, Sie sind Studierender der PH Ludwigsburg am Standort Ludwigsburg und möchten zunächst Online-Datenbanken beim Anbieter A nutzen:

  • Auf der Webseite des Anbieters A wählen Sie als Ihre Einrichtung PH Ludwigsburg.
  • Sie werden nun zur Authentifizierung auf den IdP der PH Ludwigsburg geleitet. Dort geben Sie Ihren PH-Nutzernamen und das dazugehörige Passwort ein.
  • Falls diese übereinstimmen, wird dem Anbieter A mitgeteilt, dass sich ein Nutzer erfolgreich bei der PH Ludwigsburg authentifiziert hat.
  • Der Anbieter fragt nun (über ein generiertes Token) beim IdP das Attribut eduPersonEntitlement ab. Der IdP antwortet, dass das Attribut für diesen Nutzer den Wert common-lib-terms hat. Diese Abfrage erfolgt automatisch ohne Ihr Zutun.
  • Falls nun die zuständige Bibliothek (im Beispiel wäre das die Bibliothek in Ludwigsburg) Campuslizenzen für die Nutzung der Online-Datenbank mit dem Anbieter A abgeschlossen hat, wird der Anbieter anhand des Wertes common-lib-terms Ihnen die Nutzung der Online-Datenbank gestatten.
    Genauer: Er wird Ihrer Browser-Session die Nutzung gestatten. Sie sind dem Anbieter völlig unbekannt!

Danach möchten Sie sich eine Software von einem (Software-)Anbieter B herunterladen. Dieser Download ist für Studierende einer deutschen Hochschule kostenlos. Sie benutzen noch dieselbe Browser-Session wie beim obigen Datenbank-Zugriff.

  • Auf der Webseite des Anbieters B wählen Sie den gewünschten Download.
  • Das Token in Ihrer Browser-Session ist noch gültig. Anbieter B erkennt, dass Sie sich bereits authentifiziert haben. Sie werden nicht nochmals zur Authentifizierung auf den IdP geleitet.
  • Anhand des Tokens fragt Anbieter B nun beim zuständigen IdP nach dem Wert des Attributs scopedAffiliation. Der IdP gibt Anbieter B den Wert student@lb.ph-ludwigsburg.de zurück.
  • Anbieter B erkennt daran, dass es sich bei Ihnen um einen Studierenden einer deutschen Hochschule handelt und startet den Download.
    Genauer: Anbieter B geht davon aus, dass es sich bei der Browser-Session noch um die Session eines Studierenden einer deutschen Hochschule handelt.

Deshalb nochmals der Hinweis:

Schließen Sie an öffentlich zugänglichen Rechnern den Webbrowser, um sich vom Single-Sign-On abzumelden und so den Missbrauch Ihres Kontos zu verhindern!

Als Komplettierung des Beispiels eine Variation: Hätte ein Mitarbeiter der PH Ludwigsburg die obigen Aktionen durchgeführt, wäre der Ablauf bis auf die letzten beiden Schritte derselbe gewesen. Im vorletzten Schritt hätte der IdP als Wert employee@lb.ph-ludwigsburg.de zurückgeliefert. Im letzten Schritt hätte Anbieter B daraus geschlossen, dass der Nutzer kein Studierender einer deutschen Hochschule ist und den kostenlosen Download verweigert. Der Nutzer wäre zwar authentifiziert (gültiges Browser-Token), für den Download beim Anbieter aber nicht autorisiert.

Nach oben

© Pädagogische Hochschule Ludwigsburg