Shibboleth für Anwender

Was ist Shibboleth?

Shibboleth ist ein System zur verteilten Authentifizierung- und Autorisierung insbesondere webbasierter Anwendungen. Wollen Sie eine für Shibboleth eingerichtete Webanwendung nutzen, leitet der Betreiber dieser Anwendung (der sog. Service Provider, SP) Sie vorübergehend zu uns (dem sog. Identity Provider, IdP) um. Auf einer in der Universität Bremen befindlichen Login-Seite loggen Sie sich mit Ihrem Benutzernamen und Ihrem Passwort ein, anschließend werden Sie automatisch zur Webanwendung des Service Providers zurückgeleitet. Anhand der übermittelten Benutzerdaten kann der Service Provider nun entscheiden, ob er Ihnen Zugriff auf die von Ihm zur Verfügung gestellte Webanwendung gewährt.

Service- und Identity Provider schließen sich zu sogenannten Föderationen zusammen. Die Universität Bremen betreibt eine eigene, lokale Föderation und ist außerdem Mitglied in der DFN-AAI-Föderation des Deutschen Forschungsnetzes.

Shibboleth ermöglicht es, ursprünglich nur lokal verfügbare Anwendungen auch für Mitglieder anderer Institutionen innerhalb einer Föderation zu öffnen. Dies kann nach Wahl des Diensteanbieters global ("alle Mitglieder aller anderen Föderationsteilnehmer haben Zugriff") oder selektiv anhand der vom IdP übermittelten Attribute erfolgen ("alle Mitarbeiter und Studenten der Universitäten Berlin und Stuttgart haben Zugriff").

Datenschutz und Sicherheit

Da die Übermittlung personenbezogener Daten an andere Organsationen besonders datenschutzkritisch ist, finden die beiden Aspekte Datenschutz und Sicherheit bei der Entwicklung von Shibboleth besondere Berücksichtigung. Es werden ausschließlich die zur Überprüfung Ihrer Zugriffsberechtigung (Autorisierung) benötigten Informationen vom Identity Provider an den Diensteanbieter (Service Provider) übermittelt. Insbesondere wird Ihr Passwort nicht an den Diensteanbieter übermittelt; die Überprüfung des Passworts erfolgt auf Rechnern der Universität Bremen.

Übermittelt werden zur Zeit:

Datum Beispiel
Ihre Benutzerkennung an der Universität beispiel
Ihr Vor- und Nachname Erika Beispiel
Ihre E-Mail-Adresse beispiel@uni-bremen.de
Ihre Zugehörigkeit zu den Statusgruppen:
Hochschullehrer, Mitarbeiter, Student, Alumni, Sonstiger
in den unterschiedlichen Abteilungen der Universität
student@uni-bremen.de
member@uni-bremen.de
student@fb13.uni-bremen.de
member@fb13.uni-bremen.de
Zusätzliche besondere Berechtigungen urn:mace:dir:entitlement:common-lib-terms

Die Übermittlung Ihrer Daten erfolgt unmittelbar zum Zeitpunkt des Einloggens in den Shibboleth-gesicherten Webservice. Sind Sie mit der Übertragung der obengenannten Daten an den Diensteanbieter nicht einverstanden, können bzw. sollten Sie den entsprechenden Dienst nicht nutzen.

Alle Diensteanbieter in der Föderation des Deutschen Forschungsnetzes haben sich vertraglich zur Einhaltung der einschlägigen Datenschutzbestimmungen verpflichtet.

Logout

Shibboleth ermöglicht zur Zeit keinen Logout, d.h. Sie können sich nicht aus dem Single Sign On - System abmelden. Ihre Sitzung läuft nach einer vorgegebenen Zeit (2 Stunden oder weniger) automatisch ab. Aus diesem Grund sollten Sie Shibboleth-gesicherte Dienste nicht von öffentlichen Terminals - beispielsweise CIP-Rechnern oder Internet-Cafes - nutzen.

Lässt sich eine Benutzung an einem öffentlichen Terminal aus praktischen Gründen nicht vermeiden, sollten Sie nach Abschluss der Sitzung unbedingt ihre privaten Daten (und damit auch den Shibboleth-Sitzungsschlüssel) im Browser löschen. Im Firefox wählen Sie dazu im Menü 'Extras' den Menüpunkt 'Private Daten löschen', selektieren im folgenden Dialog alle Punkte und drücken auf 'Private Daten jetzt löschen'. Im Internet Explorer wählen Sie im Menü 'Extras' den Menüpunkt 'Browserverlauf löschen' und löschen mit Hilfe des Knopfs 'Alle löschen' alle gespeicherten Sitzungsinformationen.

Technisch Interessierte finden hier eine Erläuterung, warum ein Single Logout schwierig zu realisieren ist.