Startseite der Technischen Universität Dresden

Persönliche Werkzeuge
Startseite » ... » ZIH » Dienste » Shibboleth DFN-AAI
Sektionen
 

Shibboleth DFN-AAI

[Funktionsweise]
[Vorteile]
[Herausgegebene Attribute und Datenschutz]
[Shibboleth-Attribute]
[Liste der shibboleth-unterstützten Services an der TUD]
[Bei Störungen]
[Weiterführende Links]

Authentifizierungs- und Autorisierungs-Infrastruktur im DFN (DFN-AAI)

Die Authentifizierungs- und Autorisierungs-Infrastruktur im DFN (DFN-AAI) wird vom DFN verwaltet. Das DFN stellt Mindestanforderungen für die Verlässlichkeitsklassen Basic und Advanced. Realisiert wird der Dienst mit der Software Shibboleth. Die DFN-AAI bietet die Möglichkeit, sich für elektronische Dienste als Studierender oder Mitarbeiter der TU Dresden zu authentifizieren, ohne einen gesonderten Zugang beantragen zu müssen. Darunter sind Web-Dienste anderer Hochschulen, von Verlagen zu Online-Recherchen oder Hard- und Software-Bezug zu hochschulspezifischen Konditionen. Die TU Dresden ist seit 11/2012 in der Föderation DFN-AAI-ADVANCED.

     

Funktionsweise

Um die freigeschalteten Dienste nutzen zu können, benötigen die Benutzer der TU Dresden ihr ZIH-Login und das dazugehörige Passwort. Diese Daten werden nicht an die Service Provider übertragen. Der Austausch der Daten mit dem ZIH erfolgt verschlüsselt (HTTPS). Die Attribute, die von den Dienstprovidern benötigt werden, werden erst nach einer Bestätigung des Benutzers übertragen. Die Bestätigung ist einmal pro Anbieter erforderlich. Alle teilnehmenden Einrichtungen sind durch den Vertrag mit dem DFN dazu verpflichtet, die ihnen übertragenen Daten nach dem Datenschutzgesetz zu behandeln.

Innerhalb der Authentifizierungs- und Autorisierungs-Infrastruktur sind vom DFN Vereinbarungen mit verschiendenen Dienstanbietern  - den Service Providern (SP) - getroffen worden. Die an der DFN-AAI teilnehmenden Identity Provider (IdP) sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Möchte ein Benutzer erstmalig einen Dienst im DFN-AAI nutzen, wird er zum Lokalisierungsdienst (WAYF-Service - Where Are You From) des DFN geleitet. In diesem Formular wählt der Nutzer seine Heimatorganisation als Identity Provider aus und wird daraufhin zu dieser weitergeleitet. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle) und Informationen für die Autorisierung (Zugangsberechtigung) gelangen über SAML (Security Assertion Markup Language) zum Service Provider.

     

Vorteile von Shibboleth und der DFN-AAI

  • Verteilte Authentifikation und Autorisierung: ZIH-Login und -Passwort können zur Anmeldung für Dienste der TU Dresden als auch für Angebote anderer Einrichtungen verwendet werden (Föderiertes Identitätsmanagement, FIM).
  • Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen nutzbar, auch bei anderen Einrichtungen.
  • Datenschutz: Der Benutzer kann seine persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.
  • Sicherheit: Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.

     

Herausgegebene Attribute und Datenschutz

Shibboleth unterstützt Anwender und Dienstleister in Bezug auf Datensparsamkeit und Identitätsmanagement. Passwörter gelangen nicht mehr zu den Webanwendungen und den dahinter laufenden fremden Systemen. Gegenüber vielen Service Providern genügt eine anonyme Identifikation mittels einer sogenannten transientId, einem zufälligen, kurzlebigen und gegenüber dem Service Provider intransparenten Identifizierungsmerkmal.

Die einem Dienst zu übermittelnden Daten werden dem Nutzer nach der Autorisierung gegenüber dem ZIH zunächst angezeigt. Zur endgültigen Autorisierung gegenüber dem Service Provider muss der Nutzer der Übermittlung der Daten explizit zustimmen. Alternativ kann der Nutzer die Herausgabe der Daten verweigern.

Das ZIH trägt dafür Sorge, dass nur Attribute herausgegeben werden können, die für die Erbringung des Dienstes erforderlich sind (Attribut-Filter). Die Standard-Berechtigungen, das heißt, welche Attribute alle Service Provider im DFN-AAI auslesen dürfen, sind in der Tabelle Shibboleth-Attribute gekennzeichnet. Die von den Service Providern angeforderten Attribute sind Bestandteil der Metadaten (XML-Tag NameIDFormat). Die Liste der shibboleth-unterstützten Services an der TUD benennt über diese Aufstellung hinausgehende Attribute. Beim DFN finden Sie weitergehende Informationen zum Datenschutz sowie zu den verwendeten Attributen.

     

Shibboleth-Attribute

Beschreibung attributeID mögliche Werte
zufällige, kurzlebige Kennung
 transientId1

Berechtigung eduPersonEntitlement1

Art der Zugehörigkeit plus Domain Namen
 eduPersonScopedAffiliation1 student@tu-dresden.de, employee@tu-dresden.de, member@tu-dresden.de
Art der Zugehörigkeit zur eigenen Organisation
 eduPersonAffiliation student, employee, member
Nutzer-ID, welche Namensbestandteile enthalten kann eduPersonPrincipalName

Nachname
 surname Muster, ...
Vorname givenName Max, ...
E-Mail-Adresse mail
 max.muster@tu-dresden.de, ...
Organisationsname
 organizationName TU Dresden
Organisationseinheit, z.B. Fakultät, Dezernat, Abteilung
 organizationalUnit Fachbereich Mathematik
Matrikelnummer schacPersonalUniqueCode

Fachsemesters
 dfnEduPersonTermsOfStudy 016 $ 6
Studienfachbezeichnung laut Hochschule dfnEduPersonFieldOfStudyString Theoretische Physik
anonyme, aber eindeutige Kennung des Nutzers persistentId

1 Attribute mit Standard-Berechtigung, das sind diejenigen, die alle Service Provider im DFN-AAI auslesen dürfen

     

Der DFN-Verein führt eine Zusammenstellung aller Service Provider im DFN-AAI. Unter anderem können Sie folgende Online-Dienste über den Shibboleth IdP nutzen:

Dienst Webseite Attribute (attributeID)2
OPAL - Online-Plattform für Akademisches Lehren https://bildungsportal.sachsen.de/opal/dmz/ givenName, mail, eduPersonPrincipalName, eduPersonAffiliation, surname, organizationName, organizationalUnit, schacPersonalUniqueCode, dfnEduPersonTermsOfStudy, dfnEduPersonFieldOfStudyString
DFNVC Webkonferenzen https://webconf.vc.dfn.de
Lernprogramm Kunst und Funktion http://www.kunst-und-funktion.de Attribute nach DFN-AAI Standardberechtigung
DFN Funktionstest Identity-Provider https://testsp2.aai.dfn.de Attribute nach DFN-AAI Standardberechtigung

2 ohne Standard-Berechtigungen

     

Bei Störungen

Sollten Sie sich bei einem Online-Dienst einmal nicht autorisieren können, beachten Sie bitte den Betriebsstatus. Über den in obiger Liste genannten DFN Funktionstest Identity-Provider können Sie die Authentifizierung mit Ihrem ZIH-Login einfach überprüfen. Ist keine Authentifizierung möglich, wenden Sie sich bitte an den Service Desk des ZIH. Andernfalls kontaktieren Sie bitte den Betreiber des Online-Dienstes.

     

Weiterführende Links

https://www.aai.dfn.de/ 
http://shibboleth.net/ 
http://www.switch.ch/de/aai/ 
http://de.wikipedia.org/wiki/Shibboleth_(Internet)
 http://de.wikipedia.org/wiki/Authentication_and_Authorization_Infrastructure

Stand: 23.01.2013 10:10
Autor: ZIH Service Desk



Kontakt

Hausadresse:
Willers-Bau, A-Flügel
Zellescher Weg 12-14

Service Desk:
Ort: Nöthnitzer Str. 46, E036
Tel.: +49 351 463-31666
Fax: +49 351 463-42328
Ansage für Störungen:
  +49 351 463-31888
email iconservicedesk@tu-dresden.de
 
Sekretariat:
Raum: Willers-Bau A 207
Tel.: +49 351 463-35450
Fax: +49 351 463-37773
email iconzih@tu-dresden.de


Post:
Technische Universität Dresden
Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH)
01062 Dresden

Pakete:
Technische Universität Dresden
Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH)
Helmholtzstr. 10
01069 Dresden