English Intern
Rechenzentrum

Shibboleth

Shibboleth an der Universität Würzburg

Shibboleth für Anwender

Was ist Shibboleth?

Shibboleth ist ein Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen. Hierdurch ist es möglich, mit einer einzigen Anmeldung verschiedene Anwendungen zu nutzen - sowohl innerhalb der Universität Würzburg als auch an anderen Universitäten und Einrichtungen, die innerhalb des selben Verbundes teilnehmen.

Funktionsweise von Shibboleth

Eine Anwendung wird als Service Provider bezeichnet (=SP). Bei der ersten Nutzung einer Anwendung nach dem Öffnen des Browsers leitet diese Anwendung Sie zum Lokalisierungsdienst weiter. Dort wählen Sie aus, zu welcher Einrichtung Sie gehören (Universität Würzburg). Dann kommen Sie zum Identity Provider der Universität Würzburg, wo Sie sich mit Ihrer Benutzerkennung und ihrem Passwort anmelden können. Nach erfolgreicher Anmeldung und ggf. Prüfung der Berechtigung können Sie nun die gewünschte Webanwendung nutzen.

 Die nächste Anwendung innerhalb derselben Browser Sitzung erkennt, daß Sie bereits angemeldet sind und Sie können die Andwendung direkt ohne erneutes Anmelden nutzen.

Reichweite von Shibboleth

Wenn Sie sich einmal angemeldet haben, müssen Sie sich zur Nutzung weitere Anwendungen innerhalb des Verbundes nicht noch einmal anmelden. Dies heißt auch SingleSignOn. Das SingleSignOn funktioniert innerhalb desselben Verbundes von Anwendungen (Service Providern) und Identitätsdepots (IdentityProvidern). Solch ein Verbund heißt auch Föderation. Die Föderation, der die Universität Würzburg angehört, ist die DFN-AAI-Föderation des Deutschen Forschungsnetzes sowie die Interföderation eduGAIN. Alle Mitglieder der Föderation haben sich vertraglich verpflichtet, bestimmte Regeln einzuhalten. Weitere Details zur DFN-AAI Föderation finden Sie hier. Eine Liste der Anwendungen der Verlässlichkeitsklasse Basic  und Advanced sowie der Identitätsdepots der DFN-AAI Föderation der Klasse Basic und Advanced  finden Sie in den hinterlegten Links. Hier finden Sie eine Liste der eduGAIN Anwendungen und Idnetitätsdepots.

Berechtigungen

Shibboleth ermöglicht es, Anwendungen auch für Mitglieder anderer Institutionen innerhalb einer Föderation zu öffnen. Hierbei entscheidet der Anbieter der Anwendung - unter Berücksichtung von lizenzrechtlichen und rechtlichen Rahmenbedingungen - welchem Personenkreis einer Institution er Zugang zur Anwendung ermöglicht. Dies können zum Beispiel alle Studenten und/oder alle Mitarbeiter der Universität Würzburg sein.

Datenschutz und Sicherheit

Die Übermittlung von Daten an andere Organisationen unterliegt dem Datenschutz, wenn es sich um personenbezogene Daten handelt. Das Verfahren Shibboleth ermöglicht es, mit personenbezogenen Daten besonders sparsam umzugehen. So erhält ein Service Provider zunächst nur folgende Informationen. All diese Informationen lassen keine Rückschlüsse auf personenbezogene Daten zu:

  • ein eindeutiges Merkmal pro Benutzerkennung
  • eine Einordnung in die Kategorie Student, Mitarbeiter, Gast
  • eine Einordung in die Kategorie Student, Mitarbeiter, Gast mit zugehöriger Einrichtung (meist uni-wuerzburg)
  • anwendungsspezifische Berechtigungskategorien

Einzelne Anwendungen benötigen darüber hinaus weitere Daten. Dies wird vor Übermittlung dieser Daten aber zwischen Betreiber der Anwendung, Betreiber des Identitätsdepots und Datenschutzbeauftragtem abgestimmt. Die entsprechenden Datenschutzfreigaben können beim Datenschutzbeauftragten der Universität Würzburg eingesehen werden.

Alle Diensteanbieter in der Föderation des Deutschen Forschungsnetzes haben sich vertraglich zur Einhaltung der einschlägigen Datenschutzbestimmungen verpflichtet.

Die Übermittlung Ihrer Daten erfolgt unmittelbar zum Zeitpunkt des Einloggens an die Shibboleth-gesicherte Anwendung. Wenn Sie nicht mit der Übertragung der obengenannten Daten an den Diensteanbieter einverstanden sind, können bzw. sollten Sie den entsprechenden Dienst nicht nutzen.

Ihr Passwort wird bei einer Shibbolethanmeldung nicht an die Anwendung übertragen. Die Überprüfung Ihres Passworts erfolgt ausschließlich auf Rechnern, die der Hoheit des Rechenzentrums der Universität Würzburg unterliegen.

Logout

Shibboleth ermöglicht zur Zeit keinen SingleLogout. Sie können sich nicht aus dem Single Sign On - System abmelden. Wenn Sie sich aus einer einzelnen Anwendung abmelden, werden Sie - das bedeutet SingleSignon - automatisch wieder angemeldet, wenn Sie die Seite wieder besuchen.

Ihre Sitzung läuft nach einer vorgegebenen Zeit (2 Stunden oder weniger) automatisch ab.

Wenn Sie Shibboleth-gesicherte Dienste von öffentlichen Terminals - beispielsweise CIP-Rechnern oder Internet-Cafes - nutzen, beachten Sie folgende Hinweise:

  • löschen Sie im Browser Ihre privaten Daten (und damit Ihren Shibboleth-Sitzungsschlüssel. Im Firefox gehen Sie hierzu auf Extras: Private Daten löschen: alle Punkte auswählen und jetzt löschen. Im Internet Explorer gehen Sie hierzu auf Extras: Browserverlauf löschen: Alle löschen

Shibboleth für Betreiber von Applikationen

Aufsetzen eines ServiceProviders

Wenn Sie eine webbasierte Anwendung (z.B. einen Apache Webserver) betreiben, den Sie in die SingleSignOn Lösung WueLogin einbinden wollen, sind folgende Schritte notwendig:

  • Sie benötigen ein Serverzertifikat mit dem Zertifikatsprofil Shibboleth, das von der Zertifizierungsinstanz UNIWUE-CA innerhalb der DFN-PKI signiert wurde. Dieses Zertifikat kann auch für den Apache Webserver verwendet werden
  • Sie müssen die Software Shibboleth Service Provider installieren. Diese unterliegt der Apache 2.0 Lizenz und ist für Linux und Windows verfügbar
  • Die Metadaten Ihres Serviceproviders müssen beim DFN-Verein eingetragen werden. Hierzu wenden Sie sich bitte an shibboleth@uni-wuerzburg.de. Hierbei wird unterschieden, ob Sie Ihre Anwendung nur für Anwender der Universität Würzburg oder für alle Teilnehmer der DFN-Föderation zur Verfügung stellen wollen.

Berechtigungen

ServiceProvider können nach erfolgreicher Authentifizierung der Benutzers diesen abhängig von folgenden Attributen berechtigen.

Attribute, die alle Serviceprovider in der DFN-Föderation auslesen dürfen

  • eduPersonAffiliation: student, employee, member. Mehrfachnennungen sind möglich, member und employee schließen sich gegenseitig aus. Der Status ist unabhängig von der angehörigen Institution (So sind z.B. sowohl hfm-Mitarbeiter als auch Uni-Mitarbeiter employee
  • eduPersonScopedAffiliation: enthält die Zugehörigkeit(en) an der jeweiligen Einrichtung. Hier sind möglich:
  • eduPersonPrimaryAffiliation: enthält die Zugehörigkeit mit der höchsten Priorität
  • eduPersonTargetedID: ein eindeutiges Merkmal pro Benutzer, das auf Dauer gleich bleibt, aber keine Rückschlüsse auf persönliche Daten des Benutzers zuläßt.
  • eduPersonEntitlement: ein eindeutiger Wert, der für bestimmte Anwendungen berechtigt (zB Bibliotheksdienst, DFN-Videokonferenz)

Attribute, die lokale ServiceProvider zusätzlich bekommen

  • Nachname
  • Rufname
  • Mailadresse
  • uniqueID
  • Gruppenmitgliedschaften

Weitere Attribute

zusätzliche Attribute sind nach datenschutzrechtlicher Freigabe möglich. Wenden Sie sich hierfür bitte an shibboleth@uni-wuerzburg.de

Ansprechpartner:

Für alle Fragen, Wünsche und Anregungen im Zusammenhang mit Shibboleth und SingleSignon der Universität Würzburg wenden Sie sich bitte an:    shibboleth@uni-wuerzburg.de