Was ist Shibboleth?

Shibboleth ist ein vom Internet2/MACE entwickeltes Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices.

Ein Demonstrationsvideo (englisch) findet sich hier

Was sind die Vorteile von Shibboleth?

Mehr und mehr Universitäten, Firmen und Regierungsbehörden bieten Services an und arbeiten online zusammen. Nutzer greifen typischerweise von innerhalb und ausserhalb ihrer Organisation auf Onlineressourcen zu, um ihre Arbeit zu erledigen.

In der Vergangenheit brauchte man für jeden dieser Services eine eigene ID und ein Passwort, was für den Benutzer ein weiteres Paar Daten in seiner User/Passwort Sammlung bedeutete. Für die Institutionen war es schwierig Sicherheitslücken zu stopfen und trotzdem Zugang zu den verschiedenen Services auf und ausserhalb des Campus aufrecht zu erhalten.

Shibboleth löst dieses Problem und bietet einfachen Zugang zu den gewünschten Services, durch einfachen Login bei der Heimateinrichtung.

Welche Einrichtungen nutzen Shibboleth?

Shibboleth wird von vielen deutschen und internationalen Universitäten und Forschungsinstituten eingesetzt, welche sich meist zu Föderationen zusammenschliessen. Die Universität Duisburg Essen ist Mitglied des Deutschen Forschungsnetzwerks (DFN). Eine Übersicht über weitere teilnehmende Institutionen findet sich beim DFN sowie beim WAYF Service.

Was ist WAYF?

WAYF steht für Where Are You From. Hier muss der Nutzer seine Heimateinrichtung auswählen, mit dessen Authentifizierung er sich bei einem Dienst anmelden möchte

Sind meine Daten sicher?

Ja, die Daten werden mit modernen Cryptoalgorithmen verschlüsselt übertragen und sind nur durch die jeweiligen Kommunikationspartner zu entschlüsseln.

Daten werden nur dann aus dem Identity Management System an andere DV-Systeme weitergegeben, wenn die datenschutzrechtlichen Bedingungen erfüllt sind.

Die Einhaltung der Vorschriften des Datenschutzes wird erheblich erleichtert, weil Daten nur an einer Stelle gespeichert sind, und nur von dort unter Einhaltung der gesetzlichen Vorschriften weitergegeben werden.

Ansprechpartner

Ralf Schlichting

Wie funktioniert Shibboleth?

Das Konzept von Shibboleth sieht vor, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung mit seinen Login Daten, also Unikennung und Passwort authentifizieren muss, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können (engl. Single Sign-on).

Im Folgenden sehen Sie das neue Shibboleth-Layout, das seit dem 07.02.2024 aktiv ist.

​1. Sie sehen die Anmeldemaske von Shibboleth. Unter dem Text Shibboleth-Login steht der Name des Dienstes, an dem Sie sich gerade anmelden.

Im ersten Schritt melden Sie sich mit Ihrer Unikennung und Ihrem Passwort an der Anmeldemaske an und klicken anschließend auf den Button "Anmelden".

Shibboleth Anmeldung Neu 1




1.1 Dieses Fenster erscheint nur dann, wenn für den Dienst, an dem Sie sich gerade anmelden, eine 2-Faktor-Authentifizierung eingerichtet ist. Ansonsten sehen Sie direkt das Fenster in Schritt 2. 
Hier geben Sie Ihren zweiten Faktor ein. Diesen lesen Sie in der App bzw. auf dem TOTP Gerät ab. Anschließend klicken Sie auf "Anmelden".


Weitere Informationen zur Einrichtung von 2FA finden Sie hier.
Shibboleth Anmeldung Neu 2






2. Nach erfolgreicher Authentifizierung wird nun eine weitere Seite angezeigt, auf der Sie darüber informiert werden, welche Daten an den Dienst übergeben werden. Dort klicken Sie zunächst im Pop-Up-Fenster und danach im Fenster "Informationsweitergabe" auf "Akzeptieren".

 

Shibboleth Anmeldung Neu 3

 

Shibboleth Anmeldung Neu 4

Diese Zustimmung wird gespeichert, sodass der Zwischenschritt später wegfällt. Die Zustimmung kann später aber auch zurückgezogen werden.

 

Der Identity Provider (IDP) prüft diese Daten und sendet minimale Identitätsinformationen an den Service, den der User benutzen möchte. Dieser entscheidet dann über die Zugriffsrechte des Benutzers. Im Shibboleth System gibt es zwei Komponenten:

  1. Identity Provider - die Software, die von einer Organisation betrieben wird um Nutzer zu authentifizieren.
  2. Service Provider - die Software, die den Zugang zu einer gesicherten Ressource überprüft.


Das alte Shibboleth-Layout bis zum 07.02.2024 sah wie folgt aus:

Idp-anmeldemaske-neu-750