Shibboleth ist die im Hochschul- und Forschungsumfeld weit verbreitete Technik, die als Authentifikations- und Autorisierungs-Infrastruktur (AAI) für Webanwendungen dient. Dabei kann ein Benutzer mit seiner lokalen Kennung auch auf Dienste anderer Hochschulen und Anbieter zugreifen, z.B. E-Learning-Angebote, Bibliotheken oder Softwareanbieter.

Die SoftwareShibboleth bildet die technische Basis, die Besitzern von aktiven LRZ-, TUM- und LMU-Kennungen ein ständig wachsendes Dienstangebot im Web eröffnet, sieheVerzeichnis der Service Provider in der DFN-AAI

Als Benutzer bzw. als Webadministrator finden Sie weitere Infos in den folgenden Abschnitten:

Merkmale und Eigenschaften von Shibboleth

• Verteilte Authentifikation und Autorisierung: Die lokale Kennung kann zum Login sowohl für lokale Dienste als auch für Angebote anderer Einrichtungen verwendet werden (Föderiertes Identitätsmanagement, FIM).
• Webanwendungen: Shibboleth ist in erster Linie für Webanwendungen einsetzbar. Neben Hochschulangeboten (Portale, Wikis, Learning-Systeme etc.) nutzen auch kommerzielle Anbieter Shibboleth (z.B. Online-Verlagsangebote, Softwarevertrieb). Mit demECP-Protokoll ist jedoch die Anmeldung an eigenständigen Applikationen (z.B. beim LRZ Sync+Share) möglich.
• Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen nutzbar, auch bei anderen Einrichtungen.
• Datenschutz: Der/die Benutzer:in kann seine/ihre persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.
• Föderation: Verteilte Authentifikation erfordert ein noch höheres Maß an Sicherheit, Vertraulichkeit und Verlässlichkeit der Systeme als eine einrichtungslokale Lösung. In Deutschland sind deshalb Hochschulen und Forschungseinrichtungen in der DFN-AAI-Föderation zusammengeschlossen. Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.

Technik von Shibboleth

Shibboleth umfasst sogenannteIdentity Provider (IdP) undService Provider (SP). Identity Provider sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle, Login) und relevante Informationen für die Autorisierung (Zugangsberechtigung) gelangen über dasSAML (Security Assertion Markup Language) zum Service Provider, auf dessen Seite die Webanwendung läuft. Möchte ein:e Benutzer:in eine solche Anwendung betreten, wird er oder sie i.d.R. zu einemWAYF-Service ("where are you from") geleitet, wo er oder sie seine Heimatorganisation auswählt und zu dieser weitergeleitet wird. Das Login erfolgt also ausschließlich an der Login-Maske der Heimatorganisation (des lokalen IdP), was gegenüber herkömmlichen Logins an jeder einzelnen Webanwendung einen großer Sicherheitsfortschritt darstellt: Passwörter gelangen nicht mehr zu den Webanwendungen und den dahinter laufenden fremden Systemen. Eine gründliche Einführung in Konzept und Technik von Shibboleth bietet das Shibboleth-Wikihttps://wiki.shibboleth.net/confluence/display/CONCEPT/Home.

Am LRZ betriebene Identity Provider für TUM, LMU und BAdW

Das LRZ betreibt die Identity Provider derTUM, derLMUund der BAdW. Identitäten sind alle aktiven Kennungen aus dem TUM- , dem LMU- bzw. dem LRZ-Verzeichnisdienst.

Um den vollen Berechtigungsumfang (Autorisierung als immatrikulierter Student, aktiver Mitarbeiter etc.) in den Anwendungen zu erhalten, sollten Benutzer von TUM- bzw. LMU beachten: