Shibboleth Single-Sign-On

Zugangsberechtigungen zu Online-Diensten werden besonders im Wissenschaftsbereich zunehmend über das Verfahren Shibboleth Single-Sign-On (SSO, dt. Einmalanmeldung) geregelt.

Shibboleth ist eine Entwicklung der US-amerikanischen INTERNET2-Initiative. Die Infrastruktur der Shibboleth Föderation in Deutschland wird innerhalb des DFN-AAI (Authentifikations- und Autorisierungs-Infrastruktur) vom Deutschen Forschungsnetz (DFN) betreut. In der Shibboleth Föderation haben Anbieter von Online-Diensten die Rolle der Service Provider (SP, dt. Diensteanbieter); die Hochschulen übernehmen die Aufgabe der Identity Provider (IdP, dt. Identitätsanbieter) und liefern Attribute zur Identität von Benutzern.

Das Shibboleth-Verfahren erlaubt es Benutzern, anstelle einer Authentifizierung beim Service Provider einen Zugriff auf Online-Dienste durch Authentifizierung gegenüber der Heimatorganisation zu erhalten. Zur Authentifizierung bei der Heimatorganisation verwenden Benutzer ihren Anmeldenamen und ihr Passwort der Heimatorganisation. Benutzer benötigen dadurch nicht bei jedem einzelnen Service Provider eine eigene Benutzerkennung mit Passwort.

Der Authentifizierungsvorgang bei einem Service Provider wird im Shibboleth-Verfahren umgeleitet auf das Anmeldeportal der Heimatorganisation, die als Shibboleth Identity Provider nach erfolgreicher Anmeldung eines Benutzers die relevanten Attribute des Benutzers an den Service Provider übermittelt. Der Service Provider entscheidet auf Grund der Attribute, z.B der Zugehörigkeit zur Gruppe der Studierenden oder Mitarbeiter, ob ein Benutzer berechtigt ist, auf den Online-Dienst zuzugreifen. Der Service Provider erfährt vom Identity Provider der Heimatorganisation nur die Attribute des Benutzers. Dadurch bleibt der Benutzer gegenüber dem Service Provider anonym.

Beim Einsatz von Shibboleth in einer Föderation treten Anbieter von Identitäten (Identity Provider, IdPs) und Anbieter von Diensten (Service Provider, SPs) in eine Vertrauensstellung. Der Dienste-Anbieter vertraut dabei darauf, dass die ihm vom Identity-Provider gelieferten Daten richtig sind (der Wahrheit entsprechen). 

Die DFN-AAI (Authentifizierungs- und Autorisierungs-Infrastruktur des DFN) ist eine solche Föderation. Sie regelt diese Vertrauensstellungen und die dafür notwendigen Kommunikationsbeziehungen. Weiterführende Informationen finden Sie auf den entsprechenden Seiten der DFN-AAI.

Die PH Ludwigsburg tritt in der DFN-AAI als Identity-Provider auf. Sie ermöglicht es damit, Ihren Mitgliedern und Angehörigen Dienste von Service-Providern in der DFN-AAI über das Shibboleth-SSO-Verfahren zu nutzen.

Die PH Ludwigsburg betreibt dazu Identity Provider in der Verlässlichkeitsklasse Advanced und hat sich dabei gegenüber der DFN-AAI vertraglich zur Einhaltung von Mindestanforderungen bezüglich der Aktualität der Daten der Identitäten verpflichtet.

Die Einführung eines Shibboleth-Identity-Providers wurde auf Grund einer Anordnung des Ministeriums für Wissenschaft, Forschung und Kunst Baden-Württemberg (MWK) notwendig. Hintergrund dafür ist eine Umstellung der über ReDI vermittelten Zugriffe auf von den Hochschulbibliotheken lizenzierten Online-Ressourcen auf dieses Verfahren.

Die Identity-Provider der PH Ludwigsburg liefern Attribute und Werte über Identitäten nach dem Datenschema eduPerson aus. Dabei handelt es sich um ein international verwendetes Schema für Identitäten von Bildungs- und Forschungseinrichtungen. Die PH Ludwigsburg folgt hierbei den Empfehlungen der DFN-AAI. Welche Attribute mit welchen Werten an der PH Ludwigsburg genutzt werden, erklären wir nachfolgend im Datenschutz.

Shibboleth-Single-Sign-On wird vom Zentrum für Medien und Informationstechnologie (MIT) der Pädagogischen Hochschule Ludwigsburg betrieben. Dabei gelten die Bestimmungen zum Datenschutz der DFN-AAI.

Generelle Informationen zum Datenschutz an der PH Ludwigsburg entnehmen Sie bitte der Datenschutzerklärung.

Beim Shibboleth-Single-Sign-On Verfahren geschehen bei einer Nutzeranmeldung bei einem Anbieter (Service-Provider, geschützte Anwendung) in der Regel drei Dinge:

1. Ein Nutzer authentifiziert sich.
2. Es wird ein Browser-SSO-Token generiert.
3. Es findet eine Autorisierung für die geschützte Anwendung statt.

Zu 1., Authentifizierung

Durch Eingabe von Nutzername und Passwort beim Shibboleth-Identity-Provider (IdP) wird festgestellt, ob es sich bei dem Nutzer um denjenigen handelt, den er vorgibt zu sein. Der geschützten Anwendung (dem Service-Provider, Anbieter) wird dabei nur mitgeteilt, dass sich ein Nutzer erfolgreich authentifiziert hat: "Ja, der Nutzer ist bei der PH Ludwigsburg bekannt und er ist derjenige, der er vorgibt zu sein". Dabei wird nicht zurückgeliefert, wer der Nutzer tatsächlich ist. Er bleibt gegenüber dem Anbieter anonym.

Zu 2., Browser-Token

Der Webbrowser des Nutzers erhält ein Token, so dass sich der Nutzer bei einem Zugriff auf eine weitere geschützte Anwendung nicht nochmals beim IdP authentifizieren muss. Dies ist das Single-Sign-On-Feature von Shibboleth.

Das Token ist für eine bestimmte Zeitspanne gültig. Die Gültigkeit endet jedoch spätestens dann, wenn der Browser (die Session) geschlossen wird. Shibboleth kennt derzeit noch kein Single-Log-Out.

Bitte schließen Sie daher an öffentlich zugänglichen Rechnern den Webbrowser, um sich vom Single-Sign-On abzumelden und so den Missbrauch Ihres Kontos zu verhindern!

Zu 3., Autorisierung durch Attributsabfragen

Nach erfolgter Authentifizierung eines Nutzers kann eine geschützte Anwendung (ein Service-Provider, Anbieter) beim IdP weitere Attribute des Nutzers abfragen. Aus den Werten dieser zurückgegebenen Attribute kann ein Anbieter dann ableiten, was der Nutzer bei diesem Anbieter darf (Autorisierung). Die Identität des Nutzers bleibt dem Anbieter dabei weiterhin unbekannt.

Die Shibboleth Identity-Provider lassen eine Authentifizierung für alle Service-Provider der DFN-AAI (Föderationen Test, Basic und Advanced) zu. Die zwei Attribute eduPersonScopedAffilliation und eduPersonEntitlement aus dem Attributsschema eduPerson (siehe "Die DFN-AAI") sind ebenfalls für alle Service-Provider der DFN-AAI (Föderationen Test, Basic und Advanced) zur Abfrage freigegeben.

Je nach Zugehörigkeitsstatus des Nutzers zur Hochschule können die Attribute folgende Werte annehmen:

IdP der PH Ludwigsburg

eduPersonScopedAffiliation eines von

• affiliate@lb.ph-ludwigsburg.de (kein Mitglied der Fakultäten 1 oder 2, kein Mitarbeiter einer zentralen Einrichtung oder der Verwaltung am Standort Ludwigsburg, Mitglieder der Fakultät 3 oder Mitarbeiter am Standort Reutlingen)
• employee@lb.ph-ludwigsburg.de und member@lb.ph-ludwigsburg.de (Hochschulbeschäftigter mit Mitgliedsstatus am Standort Ludwigsburg: Fakultäten 1 oder 2, Zentrale Einrichtungen oder Verwaltung am Standort Ludwigsburg)
• student@lb.ph-ludwigsburg.de und member@lb.ph-ludwigsburg.de (Studierende der Fakultäten 1 und 2)  

eduPersonEntitlement wird für alle Nutzer, die im Attribut eduPersonScopedAffiliation den Wert member@lb.ph-ludwigsburg.de haben, mit dem Wert urn:mace:dir:entitlement:common-lib-terms belegt. Ansonsten bleibt das Attribut leer.

Dieses Beispiel dient allein der Darstellung des systematischen Ablaufs einer Shibboleth-SSO-Session aus Nutzersicht und dem dabei auftretenden Datenaustausch.

Angenommen, Sie sind Studierender der PH Ludwigsburg am Standort Ludwigsburg und möchten zunächst Online-Datenbanken beim Anbieter A nutzen:

• Auf der Webseite des Anbieters A wählen Sie als Ihre Einrichtung PH Ludwigsburg.
• Sie werden nun zur Authentifizierung auf den IdP der PH Ludwigsburg geleitet. Dort geben Sie Ihren PH-Nutzernamen und das dazugehörige Passwort ein.
• Falls diese übereinstimmen, wird dem Anbieter A mitgeteilt, dass sich ein Nutzer erfolgreich bei der PH Ludwigsburg authentifiziert hat.
• Der Anbieter fragt nun (über ein generiertes Token) beim IdP das Attribut eduPersonEntitlement ab. Der IdP antwortet, dass das Attribut für diesen Nutzer den Wert common-lib-terms hat. Diese Abfrage erfolgt automatisch ohne Ihr Zutun.
• Falls nun die zuständige Bibliothek (im Beispiel wäre das die Bibliothek in Ludwigsburg) Campuslizenzen für die Nutzung der Online-Datenbank mit dem Anbieter A abgeschlossen hat, wird der Anbieter anhand des Wertes common-lib-terms Ihnen die Nutzung der Online-Datenbank gestatten.
  Genauer: Er wird Ihrer Browser-Session die Nutzung gestatten. Sie sind dem Anbieter völlig unbekannt!

Danach möchten Sie sich eine Software von einem (Software-)Anbieter B herunterladen. Dieser Download ist für Studierende einer deutschen Hochschule kostenlos. Sie benutzen noch dieselbe Browser-Session wie beim obigen Datenbank-Zugriff.

• Auf der Webseite des Anbieters B wählen Sie den gewünschten Download.
• Das Token in Ihrer Browser-Session ist noch gültig. Anbieter B erkennt, dass Sie sich bereits authentifiziert haben. Sie werden nicht nochmals zur Authentifizierung auf den IdP geleitet.
• Anhand des Tokens fragt Anbieter B nun beim zuständigen IdP nach dem Wert des Attributs scopedAffiliation. Der IdP gibt Anbieter B den Wert student@lb.ph-ludwigsburg.de zurück.
• Anbieter B erkennt daran, dass es sich bei Ihnen um einen Studierenden einer deutschen Hochschule handelt und startet den Download.
  Genauer: Anbieter B geht davon aus, dass es sich bei der Browser-Session noch um die Session eines Studierenden einer deutschen Hochschule handelt.

Deshalb nochmals der Hinweis:

Schließen Sie an öffentlich zugänglichen Rechnern den Webbrowser, um sich vom Single-Sign-On abzumelden und so den Missbrauch Ihres Kontos zu verhindern!

Als Komplettierung des Beispiels eine Variation: Hätte ein Mitarbeiter der PH Ludwigsburg die obigen Aktionen durchgeführt, wäre der Ablauf bis auf die letzten beiden Schritte derselbe gewesen. Im vorletzten Schritt hätte der IdP als Wert employee@lb.ph-ludwigsburg.de zurückgeliefert. Im letzten Schritt hätte Anbieter B daraus geschlossen, dass der Nutzer kein Studierender einer deutschen Hochschule ist und den kostenlosen Download verweigert. Der Nutzer wäre zwar authentifiziert (gültiges Browser-Token), für den Download beim Anbieter aber nicht autorisiert.

Das Zentrum für Medien und Informationstechnologie (MIT) der Pädagogischen Hochschule Ludwigsburg (PHL) betreibt die Shibboleth Identity Provider für folgende vier Hochschulen:

• Hochschule für öffentliche Verwaltung und Finanzen Ludwigsburg (HVF)
• Pädagogische Hochschule Karlsruhe
• Pädagogische Hochschule Ludwigsburg (PHL)
• Pädagogische Hochschule Schwäbisch Gmünd