Single Sign On mit Shibboleth

Bei Shibboleth handelt es sich um ein System zum Single Sign On, das bedeutet, dass ein Benutzer sich lediglich einmalig authentifizieren muss, um während dieser Anmeldung mehrere Dienste zu nutzen.

Die meisten Systeme an der Universität sind direkt an die zentrale Benutzerverwaltung gekoppelt und verwenden kein Shibboleth. Das ZIMK verwendet Shibboleth hauptsächlich zur datenschutzkonformen Anbindung externer Dienste, z.B. DFNConf. Als Teilnehmer in der DFN-AAI Föderation stehen sowohl nationale, als auch föderationübergreifende (internationale) Dienste im Rahmen von eduGAIN zur Verfügung.

Funktionsweise von Shibboleth

Quelle: DFN-Verein (https://doku.tid.dfn.de/de:aai:about)

Das Anmelden über Shibboleth wird von 3 Akteuren geregelt, dem Service-/ und Identity-Provider, so wie der geschützten Ressource bzw. Webseite.

  • Zunächst fragt ein Benutzer die Ressource an (z.B. das Portal von DFNConf). Diese überprüft ob dieser Benutzer bereits eine authentifizierte Sitzung hergestellt hat und verweist diesen, falls dies nicht der Fall ist, an einen Service Provider um den Anmeldeprozess zu starten.
  • Der Service Provider (z.B. DFNConf) erstellt eine Anmeldeanfrage und schickt den Benutzer zum Identity-Provider (Uni Trier), bei dem der Nutzer sich anmeldet und mit einer Bestätigung zurück zum Service-Provider geleitet wird.
  • Nach einer letzten Überprüfung des Anmeldestatus kann der Benutzer die von ihm aufgerufene Webseite einsehen.

Informationen zu den übermittelten Daten

Sie werden im Sinne des Datenschutzes bei jedem neuen Login bei einem ServiceProvider danach gefragt, ob die von diesem Dienst geforderten Attribute (z.B. E-Mail-Adresse oder Name) von uns übermittelt werden dürfen. Somit können Sie für jeden ServiceProvider entscheiden, ob Sie einer Datenweitergabe zustimmen oder nicht.

Das System bietet Ihnen die Möglichkeit, die Einwilligung zur Datenweitergabe jederzeit zu wiederrufen. Aktivieren Sie hierzu bitte das Häkchen bei "Lösche die frühere Einwilligung zur Weitergabe Ihrer Informationen an diesen Dienst.".

Neben dem Datenschutz ist eines der Hauptprinzipien beim Betrieb des Shibboleth Identity Providers die Datensparsamkeit. Das ZIMK gibt standardmäßig lediglich die Attribute eduPersonAffiliation (Student/Mitarbeiter), eduPersonEntitlement (Namen von berechtigten Ressourcen) und transientId (pseudonyme ID) für den Service-Provider frei. Es werden somit keine personenbezogenen Daten übermittelt. Sie können jegliche Provider, die lediglich die genannten Attribute erfordern, ohne weiteres Zutun nutzen. Natürlich werden Sie hierbei immer nach Ihrem Einverständnis zur Datenweitergabe gefragt. Welche Attribute der jeweilige Dienst noch erfordert, ist in der Abfrage nach Ihrem Einverständnis aufgeführt.

Dienst freischalten

Sollte die Nutzung eines Diensts (Service Provider) Attribute erfordern, die nicht standardmäßig übermittelt werden (s. hierzu oben), muss dieser zunächst von uns freigeschaltet werden. Bitte senden Sie uns hierzu eine E-Mail mit den Namen des Service Providers, dessen URL und (sofern bekannt) die genaue Fehlermeldung bei der Anmeldung bzw. die Namen der fehlenden Attribute an hostmanagementuni-trierde.

Anmeldung funktioniert nicht?

Sollte einmal eine Anmeldung an einem Dienst nicht funktionieren, sind mehrere Fehlerfälle zu unterscheiden:

  1. Es liegt ein generelles Problem mit Ihrem Account vor. Dies können Sie leicht ausschließen, indem Sie sich an einem anderen Dienst (z.B. E-Mail) anmelden. Wenn dort die Anmeldung funktioniert, sollte sie dies auch bei Shibboleth tun.
  2. Der verwendete Benutzername ist kein persönlicher Account. Nur Haupt-Kennungen von Mitarbeitern und Studierenden sind für die Nutzung von Shibboleth zugelassen. Funktionskennungen können nicht verwendet werden.
  3. Nach erfolgreicher Eingabe des Passworts und der Bestätigung der zu übermittelnden Benutzerattribute werden Sie nicht angemeldet. Dies kann darin begründet sein, dass vom Service Provider geforderte Attribute nicht vollständig von uns freigegeben wurden. Bitte melden Sie sich mit der genauen Fehlermeldung des Service Providers unter hostmanagementuni-trierde.

Eigenen Dienst an Shibboleth anbinden

Sollten Sie einen Dienst betreiben, den Sie Nutzern der Universität Trier zugänglich machen möchten, kontaktieren Sie uns gerne per E-Mail an: hostmanagementuni-trierde.

 

Vom Shibboleth-Dienst abmelden

Bitte denken Sie stets daran, sich von den Anwendungen abzumelden, die Sie über den Shibboleth-Anmeldedienst verwendet haben. Sollten Sie die Abmeldung vergessen haben und sich daher nicht in anderen Anwendungen über den Shibboleth-Dienst anmelden können, klicken Sie auf folgenden Link:

vom Shibboleth abmelden