Shibboleth

Was ist Shibboleth?

Shibboleth ist ein vom Internet2/MACE entwickeltes Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices. Das Konzept von Shibboleth sieht vor, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung authentifizieren muss, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können (engl. Single Sign-on).

Ein Demonstrationsvideo (englisch) findet sich hier

Wie funktioniert Shibboleth?

Ein Nutzer authentifiziert sich bei seiner Heimatorganisation mit seinen Login Daten, also Unikennung und Passwort. Der Identity Provider (IDP) prüft diese Daten und sendet minimale Identitätsinformationen an den Service, den der User benutzen möchte. Dieser entscheidet dann über die Zugriffsrechte des Benutzers. Im Shibboleth System gibt es zwei Komponenten:

  1. Identity Provider - die Software, die von einer Organisation betrieben wird um Nutzer zu authentifizieren.
  2. Service Provider - die Software, die den Zugang zu einer gesicherten Ressource überprüft.

Was sind die Vorteile von Shibboleth?

Mehr und mehr Universitäten, Firmen und Regierungsbehörden bieten Services an und arbeiten online zusammen. Nutzer greifen typischerweise von innerhalb und ausserhalb ihrer Organisation auf Onlineressourcen zu, um ihre Arbeit zu erledigen.

In der Vergangenheit brauchte man für jeden dieser Services eine eigene ID und ein Passwort, was für den Benutzer ein weiteres Paar Daten in seiner User/Passwort Sammlung bedeutete. Für die Institutionen war es schwierig Sicherheitslücken zu stopfen und trotzdem Zugang zu den verschiedenen Services auf und ausserhalb des Campus aufrecht zu erhalten.

Shibboleth löst dieses Problem und bietet einfachen Zugang zu den gewünschten Services, durch einfachen Login bei der Heimateinrichtung.

Welche Einrichtungen nutzen Shibboleth?

Shibboleth wird von vielen deutschen und internationalen Universitäten und Forschungsinstituten eingesetzt, welche sich meist zu Föderationen zusammenschliessen. Die Universität Duisburg Essen ist Mitglied des Deutschen Forschungsnetzwerks (DFN). Eine Übersicht über weitere teilnehmende Institutionen findet sich beim DFN sowie beim WAYF Service.

Was ist WAYF?

WAYF steht für Where Are You From. Hier muss der Nutzer seine Heimateinrichtung auswählen, mit dessen Authentifizierung er sich bei einem Dienst anmelden möchte

Sind meine Daten sicher?

Ja, die Daten werden mit modernen Cryptoalgorithmen verschlüsselt übertragen und sind nur durch die jeweiligen Kommunikationspartner zu entschlüsseln.