Authentifizierungsdienste
Inhaltsverzeichnis
Bereitstellung von Nutzer-Identitäten
Das ZIH bietet das Single-Sign-On Portal (Shibboleth) an, das auch von externen Diensten zur Nutzerauthentifikation genutzt werden kann.
Leistungsumfang
- Authentifikation der Nutzer gegen das ZIH Nutzermanagement
- Weitergabe von Attributen aus dem Nutzerverzeichnis (im Standardfall nur anonyme ID und Zugehörigkeit zur TU Dresden)
Optionen
- Freischaltung der Weitergabe von zusätzlichen Attributen (z.B. E-Mail Adresse, User ID, Studiengang usw.)
- Anbindung DFN-AAI zur zusätzlichen Authentifikation von externen Nutzern
Berechtigung
- Innerhalb der TU Dresden: alle IT-Dienstbetreiber
- Extern: nur in Absprache
Beantragung
- Erfolgt per Formular im Servicedesk
- Der anzubindende Dienst muss mit Shibboleth kommunizieren können
- Die Freigabe von zusätzlichen Attributen erfolgt über die Stabstelle Informationssicherheit
- Die Konfiguration/Betrieb des Shibboleth Service Providers erfolgt durch den Betreiber des Dienstes (nicht das ZIH)
- Kostenfrei
Bereitstellungszeiten
Wenn alle erforderlichen Genehmigungen vorliegen und die technischen Voraussetzungen erfüllt sind, erfolgt die Bereitstellung in der Regel innerhalb von ein bis zwei Arbeitstagen.
Betriebszeit / -Status
Rund um die Uhr verfügbar
Dienst in Betrieb? Betriebsstatus
Störung melden über den Servicedesk:
Service Desk
Eine verschlüsselte E-Mail über das SecureMail-Portal versenden (nur für TUD-externe Personen).
Besuchsadresse:
Andreas-Pfitzmann-Bau, E036 Nöthnitzer Straße 46
01187 Dresden
Postadresse:
Technische Universität Dresden
Support Center Digitalisierung
Service Desk
01062 Dresden
Öffnungszeiten:
- Montag bis Freitag:
- 08:00 - 19:00
Aus betrieblichen Gründen ist der Service Desk am 23.12.2024 nicht besetzt.
Hinweise zur Nutzung des Dienstes
Das ZIH stellt eine Dokumentation für Nutzer zur verwendeten Lösung Shibboleth bereit (Einführung / Dokumentation).
Hinweise zu möglichen Attributen
E-Learning und DFN-spezifische Attribute
2-Faktor-Authentisierung
Die Sicherheit bei der Benutzerauthentisierung kann deutlich erhöht werden, wenn mehrere Faktoren zur Anmeldung verwendet werden. Bei der 2-Faktor-Authentisierung werden "Besitz" und "Wissen" (Einmalpasswort) benötigt, um sich erfolgreich anzumelden. Weitere Informationen finden Sie hier.
Shibboleth DFN-AAI
Authentifizierungs- und Autorisierungs-Infrastruktur im DFN (DFN-AAI)
Die Authentifizierungs- und Autorisierungs-Infrastruktur im DFN (DFN-AAI) wird vom DFN verwaltet. Das DFN stellt Mindestanforderungen für die Verlässlichkeitsklassen Basic und Advanced. Realisiert wird der Dienst mit der Software Shibboleth. Die DFN-AAI bietet die Möglichkeit, sich für elektronische Dienste als Studierender oder Mitarbeiter der TU Dresden zu authentifizieren, ohne einen gesonderten Zugang beantragen zu müssen. Darunter sind Web-Dienste anderer Hochschulen, von Verlagen zu Online-Recherchen oder Hard- und Software-Bezug zu hochschulspezifischen Konditionen. Die TU Dresden ist seit 11/2012 in der Föderation DFN-AAI-ADVANCED.
Funktionsweise
Um die freigeschalteten Dienste nutzen zu können, benötigen die Benutzer der TU Dresden ihr ZIH-Login und das dazugehörige Passwort. Diese Daten werden nicht an die Service Provider übertragen. Der Austausch der Daten mit dem ZIH erfolgt verschlüsselt (HTTPS). Die Attribute, die von den Dienstprovidern benötigt werden, werden erst nach einer Bestätigung des Benutzers übertragen. Die Bestätigung ist einmal pro Anbieter erforderlich. Alle teilnehmenden Einrichtungen sind durch den Vertrag mit dem DFN dazu verpflichtet, die ihnen übertragenen Daten nach dem Datenschutzgesetz zu behandeln.
Innerhalb der Authentifizierungs- und Autorisierungs-Infrastruktur sind vom DFN Vereinbarungen mit verschiendenen Dienstanbietern - den Service Providern (SP) - getroffen worden. Die an der DFN-AAI teilnehmenden Identity Provider (IdP) sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Möchte ein Benutzer erstmalig einen Dienst im DFN-AAI nutzen, wird er zum Lokalisierungsdienst (WAYF-Service - Where Are You From) des DFN geleitet. In diesem Formular wählt der Nutzer seine Heimatorganisation als Identity Provider aus und wird daraufhin zu dieser weitergeleitet. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle) und Informationen für die Autorisierung (Zugangsberechtigung) gelangen über SAML (Security Assertion Markup Language) zum Service Provider.
Vorteile von Shibboleth und der DFN-AAI
- Verteilte Authentifikation und Autorisierung: ZIH-Login und -Passwort können zur Anmeldung für Dienste der TU Dresden als auch für Angebote anderer Einrichtungen verwendet werden (Föderiertes Identitätsmanagement, FIM).
- Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen nutzbar, auch bei anderen Einrichtungen.
- Datenschutz: Der Benutzer kann seine persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.
- Sicherheit: Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.
Herausgegebene Attribute und Datenschutz
Shibboleth unterstützt Anwender und Dienstleister in Bezug auf Datensparsamkeit und Identitätsmanagement. Passwörter gelangen nicht mehr zu den Webanwendungen und den dahinter laufenden fremden Systemen. Gegenüber vielen Service Providern genügt eine anonyme Identifikation mittels einer sogenannten transientId, einem zufälligen, kurzlebigen und gegenüber dem Service Provider intransparenten Identifizierungsmerkmal.
Die einem Dienst zu übermittelnden Daten werden dem Nutzer nach der Autorisierung gegenüber dem ZIH zunächst angezeigt. Zur endgültigen Autorisierung gegenüber dem Service Provider muss der Nutzer der Übermittlung der Daten explizit zustimmen. Alternativ kann der Nutzer die Herausgabe der Daten verweigern.
Das ZIH trägt dafür Sorge, dass nur Attribute herausgegeben werden können, die für die Erbringung des Dienstes erforderlich sind (Attribut-Filter). Die Standard-Berechtigungen, das heißt, welche Attribute alle Service Provider im DFN-AAI auslesen dürfen, sind in der Tabelle Shibboleth-Attribute gekennzeichnet. Die von den Service Providern angeforderten Attribute sind Bestandteil der Metadaten (XML-Tag NameIDFormat). Die Liste der shibboleth-unterstützten Services an der TUD benennt über diese Aufstellung hinausgehende Attribute. Beim DFN finden Sie weitergehende Informationen zum Datenschutz sowie zu den verwendeten Attributen.
Shibboleth-Attribute
Beschreibung | attributeID | mögliche Werte |
---|---|---|
zufällige, kurzlebige Kennung | transientId1 | |
Berechtigung | eduPersonEntitlement1 | |
Art der Zugehörigkeit plus Domain Namen | eduPersonScopedAffiliation1 | student@tu-dresden.de, employee@tu-dresden.de, member@tu-dresden.de |
Art der Zugehörigkeit zur eigenen Organisation | eduPersonAffiliation | student, employee, member |
Nutzer-ID, welche Namensbestandteile enthalten kann | eduPersonPrincipalName | |
Nachname | surname | Muster, ... |
Vorname | givenName | Max, ... |
E-Mail-Adresse | max.muster@tu-dresden.de, ... | |
Organisationsname | organizationName | TU Dresden |
Organisationseinheit, z.B. Fakultät, Dezernat, Abteilung | organizationalUnit | Fachbereich Mathematik |
Matrikelnummer | schacPersonalUniqueCode | |
Fachsemesters | dfnEduPersonTermsOfStudy | 016 $ 6 |
Studienfachbezeichnung laut Hochschule | dfnEduPersonFieldOfStudyString | Theoretische Physik |
anonyme, aber eindeutige Kennung des Nutzers | persistentId |
1 Attribute mit Standard-Berechtigung, das sind diejenigen, die alle Service Provider im DFN-AAI auslesen dürfen
Der DFN-Verein führt eine Zusammenstellung aller Service Provider im DFN-AAI. Unter anderem können Sie folgende Online-Dienste über den Shibboleth IdP nutzen:
Dienst | Webseite | Attribute (attributeID)2 |
---|---|---|
OPAL - Online-Plattform für Akademisches Lehren | https://bildungsportal.sachsen.de/opal/dmz/ | givenName, mail, eduPersonPrincipalName, eduPersonAffiliation, surname, organizationName, organizationalUnit, schacPersonalUniqueCode, dfnEduPersonTermsOfStudy, dfnEduPersonFieldOfStudyString |
DFNVC Webkonferenzen | https://webconf.vc.dfn.de | |
Lernprogramm Kunst und Funktion | http://www.kunst-und-funktion.de | Attribute nach DFN-AAI Standardberechtigung |
2 ohne Standard-Berechtigungen
Bei Störungen
Sollten Sie sich bei einem Online-Dienst einmal nicht autorisieren können, beachten Sie bitte den Betriebsstatus. Über den in obiger Liste genannten DFN Funktionstest Identity-Provider können Sie die Authentifizierung mit Ihrem ZIH-Login einfach überprüfen. Ist keine Authentifizierung möglich, wenden Sie sich bitte an den Service Desk. Andernfalls kontaktieren Sie bitte den Betreiber des Online-Dienstes.
Weitere Informationen zu Shibboleth
https://www.aai.dfn.de/
http://shibboleth.net/
http://www.switch.ch/de/aai/
http://de.wikipedia.org/wiki/Shibboleth_(Internet)
http://de.wikipedia.org/wiki/Authentication_and_Authorization_Infrastructure