Nur einmal anmelden und (fast) überall dabei
12.11.2010Shibboleth ist das Zauberwort für die Möglichkeit, sich automatisch bei mehreren IT-Diensten der Universität anmelden zu können.
Wie funktioniert's?
Bei Shibboleth wird der Zugang zu mehreren Internet-Diensten über einen einzigen Login-Vorgang ermöglicht. Die per Shibboleth abgesicherten Internet-Dienste nennt man Service Provider (SP). Beim erstmaligen Zugriff auf einen SP wird man zu einem zentralen Login-Server umgeleitet, wo man sich mit seinen Zugangsdaten anmelden kann. Dieser Login-Server nennt sich Identity Provider (IdP). Der IdP prüft die Berechtigung zur Verwendung des Dienstes und legt sie in Form eines Cookies im eigenen Browser ab. Beim Zugriff auf weitere Dienste erteilt der IdP die Berechtigungen, ohne dass die Zugangsdaten erneut eingegeben werden müssen.
Vereinigte Föderation
Über kryptografische Verfahren wird sichergestellt, dass die beteiligten Systeme sich vertrauen können. Einen Verbund von SPs und IdPs, die sich gegenseitig vertrauen, nennt man Föderation. Einer Föderation können voneinander unabhängige Einrichtungen angehören, wenn sie eine gemeinsame Zertifizierungsstelle haben.
"Where are you from?"
Die Universität Würzburg ist Mitglied in der Föderation des DFN-Vereins, zu der zahlreiche andere Wissenschaftseinrichtungen und z.B. auch Verlage gehören. Ein SP kann Nutzer aus verschiedenen Einrichtungen bedienen. In diesem Fall weiß der SP nicht, welcher IdP für einen spezifischen Nutzer zuständig ist. Daher wird der Nutzer zunächst auf einen Server umgeleitet, wo er seine Heimateinrichtung auswählen muss. Dieser spezielle Server nennt sich WAYF (where are you from).
Der Ablauf bei der Authentifizierung über Shibboleth (Quelle: University of Chicago)
Kontinuierlicher Ausbau der Dienste
Bisher wurden vorrangig interne Dienste (z.B. zum Netzwerk-Monitoring) mit Shibboleth abgesichert. Jetzt wurden aber erstmals auch Dienste eingerichtet, die von einer größeren Anzahl von Nutzern verwendet werden. Dazu gehört der Geräteverleih. Auch beim Content-Management-System TYPO3 der Universität kann man sich nun alternativ per Shibboleth anmelden. Dazu muss auf der Login-Seite der Link Shibboleth anmelden angeklickt werden, anstatt dass die Benutzerdaten direkt in das Formular auf der Seite eingegeben werden.
Insgesamt ist nun ein Dutzend Dienste des Rechenzentrums über Shibboleth abgesichert - und der Ausbau geht weiter.