Single Sign-on

Shibboleth

Shibboleth ist ein System zur verteilten Authentifizierung- und Autorisierung insbesondere webbasierter Anwendungen. Wollen Sie eine für Shibboleth eingerichtete Webanwendung nutzen, leitet der Betreiber dieser Anwendung (der sog. Service Provider, SP) Sie vorübergehend zu uns (einem sog. Identity Provider, IdP) um. Auf einer in der Universität Bremen befindlichen Login-Seite loggen Sie sich mit Ihrem Benutzernamen und Ihrem Passwort ein, anschließend werden Sie automatisch zur Webanwendung des Service Providers zurückgeleitet. Anhand der übermittelten Benutzerdaten kann der Service Provider nun entscheiden, ob er Ihnen Zugriff auf die von Ihm zur Verfügung gestellte Webanwendung gewährt.

Service- und Identity Provider schließen sich zu sogenannten Föderationen zusammen. Die Universität Bremen betreibt eine eigene, lokale Föderation und ist außerdem Mitglied in der DFN-AAI-Föderation des Deutschen Forschungsnetzes. (Der besondere Vorteil dieser föderativen Lösung besteht darin, das die Betreiber der IdPs und SPs nicht jeweils untereinander Verträge bzw. Datenschutzvereinbarungen schließen müssen, sondern nur jeweils eine Vereinbarung mit dem Föderationsbetreiber.)

Shibboleth ermöglicht es, ursprünglich nur lokal verfügbare Anwendungen auch für Mitglieder anderer Institutionen innerhalb einer Föderation zu öffnen. Dies kann nach Wahl des Diensteanbieters global ("alle Mitglieder aller anderen Föderationsteilnehmer haben Zugriff") oder selektiv anhand der vom IdP übermittelten Attribute erfolgen ("alle Mitarbeiter und Studenten der Universitäten Berlin und Stuttgart haben Zugriff").

Datenweitergabe

Wenn Sie sich mit Shibboleth bei einem außeruniversitären Service Provider anmelden, werden persönliche Daten an diesen übertragen. Daher werden Sie nach dem Login vom Identity Provider gefragt, ob Sie mit der Weitergabe dieser Daten einverstanden sind. Wenn Sie eine Weitergabe Ihrer Daten ablehnen, können Sie den entsprechenden Dienst nicht nutzen.

Welche Daten weitergegeben werden, hängt von mehreren Faktoren ab und kann nicht in einer einfachen Tabelle wiedergegeben werden.  Service  Provider, die in der Föderation des Deutschen Forschungsnetzes oder der eduGain-Föderation sind, erhalten jeweils unterschiedliche Attributsätze. Zusätzlich können für einzelne Service Provider Sonderregeln konfiguriert sein. Um größtmögliche Transparenz zu erreichen, werden Ihnen die weitergegebenen Daten (sog. Attribute) auf der Webseite, auf der Sie Ihr Einverständnis geben müssen, detailliert aufgelistet.

Attribute

Im folgenden erläutern wir die nicht-selbsterklärenden Attribute, die (mit Ihrem Einverständnis) an Service Provider weitergegeben werden.

 

uidIhr Accountname.
uidNumberDie interne numerische Kennung Ihres Accounts.
zfnPersIDDie interne numerische Kennung Ihrer Person.
eduPersonAffiliationIhr Status an der Uni Bremen. Mögliche Werte sind faculty, employee, staff, member, student und affiliate.
eduPersonScopedAffiliationIhr Status an der Uni Bremen und Abteilungen und Organisationen in und an der Uni Bremen. Obwohl das nach E-Mail-Adressen aussieht hat es damit nichts zu tun.
eduPersonEntitlementEntitlements sind zusätzliche mit Ihrem Account oder Ihrer Person verknüpfte Attribute. Diese werden häufig genutzt, um besondere Zugriffsrechte zu speichern.
eduPersonPrincipalNameIhre primäre Kennung an der Uni Bremen.
eduPersonUniqueIDDieses Attribut enthält eine pseudonyme, automatisch erzeugte und global eindeutige Kennung. Es kann von Service Providern bspw. zur Personalisierung der angebotenen Dienstes genutzt werden, ohne das dem Service Provider Rückschlüsse auf Ihre Identität an der Universität möglich sind.
samlSubjectIDsiehe eduPersonUniqueID
samlPairwiseIDDieses Attribut ist ähnlich wie die samlSubjectID, ist aber für jeden Service Provider individuell. Dadurch können unterschiedliche Service Provider Ihre Nutzer auch bei einem Datenabgleich nicht miteinander verknüpfen.

Nähere Informationen zum eduPerson-Standard finden Sie bei REFEDS.

Logout

Ein Single Logout ist aus technischen Gründen nur sehr schwierig zu realisieren - nähere Erläuterungen zur Problematik finden technisch Interessierte hier.

Daher sollten Sie Shibboleth-gesicherte Dienste nicht von öffentlichen Terminals - beispielsweise CIP-Rechnern oder Internet-Cafes - nutzen. Lässt sich eine Benutzung an einem öffentlichen Terminal aus praktischen Gründen nicht vermeiden, sollten Sie nach Abschluss der Sitzung unbedingt Ihre privaten Daten (und damit auch den Shibboleth-Sitzungsschlüssel) im Browser löschen.