Authentifizierungs­dienste

Bereitstellung von Nutzer-Identitäten

Das ZIH bietet das Single-Sign-On Portal (Shibboleth) an, das auch von externen Diensten zur Nutzerauthentifikation genutzt werden kann.

Leistungsumfang & Optionen

Leistungsumfang

  • Authentifikation der Nutzer gegen das ZIH Nutzermanagement
  • Weitergabe von Attributen aus dem Nutzerverzeichnis (im Standardfall nur anonyme ID und Zugehörigkeit zur TU Dresden)

Optionen

  • Freischaltung der Weitergabe von zusätzlichen Attributen (z.B. E-Mail Adresse, User ID, Studiengang usw.)
  • Anbindung DFN-AAI zur zusätzlichen Authentifikation von externen Nutzern
Beantragung & Berechtigung

Berechtigung

  • Innerhalb der TU Dresden: alle IT-Dienstbetreiber
  • Extern: nur in Absprache

Beantragung

Mitwirkungspflichten & Voraussetzungen
  • Der anzubindende Dienst muss mit Shibboleth kommunizieren können
  • Die Freigabe von zusätzlichen Attributen erfolgt über die Stabstelle Informationssicherheit
  • Die Konfiguration/Betrieb des Shibboleth Service Providers erfolgt durch den Betreiber des Dienstes (nicht das ZIH)
Abrechnung / Kosten
  • Kostenfrei
Dienstqualität (Bereitstellungs- /Supportzeiten / Status)

Bereitstellungszeiten

Wenn alle erforderlichen Genehmigungen vorliegen und die technischen Voraussetzungen erfüllt sind, erfolgt die Bereitstellung in der Regel innerhalb von ein bis zwei Arbeitstagen.

Supportzeiten

Service Desk Mo-Fr 8-19 Uhr

Betriebszeit / -Status

Rund um die Uhr verfügbar

Dienst in Betrieb? Betriebsstatus

Störung melden über den Servicedesk:
servicedesk@tu-dresden.de

Telefon © ZIH
Name

Service Desk

Kontaktinformationen
Adresse work

Besucheradresse:

Andreas-Pfitzmann-Bau, Raum E036 Nöthnitzer Straße 46

01187 Dresden

Adresse postal

Postadresse:

Technische Universität Dresden Service Desk

01062 Dresden

work Tel.
+49 351 463-40000
fax Fax
+49 351 463-42328

Öffnungszeiten:

Montag bis Freitag:
08:00 - 19:00

Hinweise zur Nutzung des Dienstes

Das ZIH stellt eine Dokumentation für Nutzer zur verwendeten Lösung Shibboleth bereit (Einführung / Dokumentation).

Hinweise zu möglichen Attributen

AAI-Attribute

E-Learning-Attribute

SCHAC-Attribute

2-Faktor-Authentisierung mit LinOTP

Die Sicherheit bei der Benutzerauthentisierung kann deutlich erhöht werden, wenn mehrere Faktoren zur Anmeldung verwendet werden. Bei der 2-Faktor-Authentisierung werden "Besitz" und "Wissen" (Einmalpasswort) benötigt, um sich erfolgreich anzumelden. Weitere Informationen finden Sie hier.

Shibboleth DFN-AAI

Authentifizierungs- und Autorisierungs-Infrastruktur im DFN (DFN-AAI)

Die Authentifizierungs- und Autorisierungs-Infrastruktur im DFN (DFN-AAI) wird vom DFN verwaltet. Das DFN stellt Mindestanforderungen für die Verlässlichkeitsklassen Basic und Advanced. Realisiert wird der Dienst mit der Software Shibboleth. Die DFN-AAI bietet die Möglichkeit, sich für elektronische Dienste als Studierender oder Mitarbeiter der TU Dresden zu authentifizieren, ohne einen gesonderten Zugang beantragen zu müssen. Darunter sind Web-Dienste anderer Hochschulen, von Verlagen zu Online-Recherchen oder Hard- und Software-Bezug zu hochschulspezifischen Konditionen. Die TU Dresden ist seit 11/2012 in der Föderation DFN-AAI-ADVANCED.

Funktionsweise

Um die freigeschalteten Dienste nutzen zu können, benötigen die Benutzer der TU Dresden ihr ZIH-Login und das dazugehörige Passwort. Diese Daten werden nicht an die Service Provider übertragen. Der Austausch der Daten mit dem ZIH erfolgt verschlüsselt (HTTPS). Die Attribute, die von den Dienstprovidern benötigt werden, werden erst nach einer Bestätigung des Benutzers übertragen. Die Bestätigung ist einmal pro Anbieter erforderlich. Alle teilnehmenden Einrichtungen sind durch den Vertrag mit dem DFN dazu verpflichtet, die ihnen übertragenen Daten nach dem Datenschutzgesetz zu behandeln.

Innerhalb der Authentifizierungs- und Autorisierungs-Infrastruktur sind vom DFN Vereinbarungen mit verschiendenen Dienstanbietern  - den Service Providern (SP) - getroffen worden. Die an der DFN-AAI teilnehmenden Identity Provider (IdP) sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Möchte ein Benutzer erstmalig einen Dienst im DFN-AAI nutzen, wird er zum Lokalisierungsdienst (WAYF-Service - Where Are You From) des DFN geleitet. In diesem Formular wählt der Nutzer seine Heimatorganisation als Identity Provider aus und wird daraufhin zu dieser weitergeleitet. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle) und Informationen für die Autorisierung (Zugangsberechtigung) gelangen über SAML (Security Assertion Markup Language) zum Service Provider.

Vorteile von Shibboleth und der DFN-AAI

  • Verteilte Authentifikation und Autorisierung: ZIH-Login und -Passwort können zur Anmeldung für Dienste der TU Dresden als auch für Angebote anderer Einrichtungen verwendet werden (Föderiertes Identitätsmanagement, FIM).
  • Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen nutzbar, auch bei anderen Einrichtungen.
  • Datenschutz: Der Benutzer kann seine persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.
  • Sicherheit: Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.

Herausgegebene Attribute und Datenschutz

Shibboleth unterstützt Anwender und Dienstleister in Bezug auf Datensparsamkeit und Identitätsmanagement. Passwörter gelangen nicht mehr zu den Webanwendungen und den dahinter laufenden fremden Systemen. Gegenüber vielen Service Providern genügt eine anonyme Identifikation mittels einer sogenannten transientId, einem zufälligen, kurzlebigen und gegenüber dem Service Provider intransparenten Identifizierungsmerkmal.

Die einem Dienst zu übermittelnden Daten werden dem Nutzer nach der Autorisierung gegenüber dem ZIH zunächst angezeigt. Zur endgültigen Autorisierung gegenüber dem Service Provider muss der Nutzer der Übermittlung der Daten explizit zustimmen. Alternativ kann der Nutzer die Herausgabe der Daten verweigern.

Das ZIH trägt dafür Sorge, dass nur Attribute herausgegeben werden können, die für die Erbringung des Dienstes erforderlich sind (Attribut-Filter). Die Standard-Berechtigungen, das heißt, welche Attribute alle Service Provider im DFN-AAI auslesen dürfen, sind in der Tabelle Shibboleth-Attribute gekennzeichnet. Die von den Service Providern angeforderten Attribute sind Bestandteil der Metadaten (XML-Tag NameIDFormat). Die Liste der shibboleth-unterstützten Services an der TUD benennt über diese Aufstellung hinausgehende Attribute. Beim DFN finden Sie weitergehende Informationen zum Datenschutz sowie zu den verwendeten Attributen.

Shibboleth-Attribute

Beschreibung attributeID mögliche Werte
zufällige, kurzlebige Kennung transientId1  
Berechtigung eduPersonEntitlement1  
Art der Zugehörigkeit plus Domain Namen eduPersonScopedAffiliation1 student@tu-dresden.de, employee@tu-dresden.de, member@tu-dresden.de
Art der Zugehörigkeit zur eigenen Organisation eduPersonAffiliation student, employee, member
Nutzer-ID, welche Namensbestandteile enthalten kann eduPersonPrincipalName  
Nachname surname Muster, ...
Vorname givenName Max, ...
E-Mail-Adresse mail max.muster@tu-dresden.de, ...
Organisationsname organizationName TU Dresden
Organisationseinheit, z.B. Fakultät, Dezernat, Abteilung organizationalUnit Fachbereich Mathematik
Matrikelnummer schacPersonalUniqueCode  
Fachsemesters dfnEduPersonTermsOfStudy 016 $ 6
Studienfachbezeichnung laut Hochschule dfnEduPersonFieldOfStudyString Theoretische Physik
anonyme, aber eindeutige Kennung des Nutzers persistentId  

1 Attribute mit Standard-Berechtigung, das sind diejenigen, die alle Service Provider im DFN-AAI auslesen dürfen

Der DFN-Verein führt eine Zusammenstellung aller Service Provider im DFN-AAI. Unter anderem können Sie folgende Online-Dienste über den Shibboleth IdP nutzen:

Dienst Webseite Attribute (attributeID)2
OPAL - Online-Plattform für Akademisches Lehren https://bildungsportal.sachsen.de/opal/dmz/ givenName, mail, eduPersonPrincipalName, eduPersonAffiliation, surname, organizationName, organizationalUnit, schacPersonalUniqueCode, dfnEduPersonTermsOfStudy, dfnEduPersonFieldOfStudyString
DFNVC Webkonferenzen https://webconf.vc.dfn.de  
Lernprogramm Kunst und Funktion http://www.kunst-und-funktion.de Attribute nach DFN-AAI Standardberechtigung

2 ohne Standard-Berechtigungen

Bei Störungen

Sollten Sie sich bei einem Online-Dienst einmal nicht autorisieren können, beachten Sie bitte den Betriebsstatus. Über den in obiger Liste genannten DFN Funktionstest Identity-Provider können Sie die Authentifizierung mit Ihrem ZIH-Login einfach überprüfen. Ist keine Authentifizierung möglich, wenden Sie sich bitte an den Service Desk des ZIH. Andernfalls kontaktieren Sie bitte den Betreiber des Online-Dienstes.

Weitere Informationen zu Shibboleth

https://www.aai.dfn.de/ 
http://shibboleth.net/ 
http://www.switch.ch/de/aai/ 
http://de.wikipedia.org/wiki/Shibboleth_(Internet)
http://de.wikipedia.org/wiki/Authentication_and_Authorization_Infrastructure

Zu dieser Seite

ZIH Web
Letzte Änderung: 19.09.2016