Shibboleth (DFN-AAI)

Shibboleth (DFN-AAI)

Der DFN-Verein stellt über die DFN-AAI-Föderation eine Infrastruktur für Authentifizierung und Autorisierung (AAI) zur Verfügung, mit der bisherige Verfahren für den kontrollierten Zugang zu Informationen und Ressourcen nicht nur vereinfacht, sondern auch vereinheitlicht werden können. Realisiert wird der Dienst mit der Software Shibboleth. Die DFN-AAI bietet die Möglichkeit, sich für elektronische Dienste mit seinem RZ-Login als Studierender oder Mitarbeiter der HTW Dresden zu authentifizieren, ohne einen gesonderten Zugang beim Diensteanbieter beantragen und verwalten zu müssen. Die HTW Dresden ist der DFN-AAI-Föderation beigetreten und betreibt seit Januar 2014 einen Identify-Provider (IdP) in der Föderation.

Logo Shibboleth

Um die für den IdP der HTW Dresden freigeschaltenen Diensteanbieter nutzen zu können, benötigen die Benutzer der HTW Dresden ihr HTW-Login und das dazugehörige Passwort. Diese Daten werden nicht an die Diensteanbieter übertragen. Der Austausch der Daten mit dem IdP erfolgt verschlüsselt (HTTPS). Die Attribute, die von den Diensteanbieter benötigt werden, werden erst nach einer Bestätigung des Benutzers übertragen. Die Bestätigung ist pro Diensteanbieter und Login beim Dienst erforderlich. Alle teilnehmenden Einrichtungen sind durch den Vertrag mit dem DFN dazu verpflichtet, die ihnen übertragenen Daten nach dem Datenschutzgesetz zu behandeln.

Innerhalb der Authentifizierungs- und Autorisierungs-Infrastruktur sind vom DFN Vereinbarungen mit verschiedenen Diensteanbietern - den Service Providern (SP) - getroffen worden. Die an der DFN-AAI teilnehmenden Identity Provider (IdP) sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Möchte ein Benutzer erstmalig einen Dienst im DFN-AAI nutzen, wird er zu einem Lokalisierungsdienst (WAYF-Service - Where Are You From) geleitet. Hier wählt der Nutzer seine Heimateinrichtung (die HTW Dresden) als Identity Provider aus und wird daraufhin zu dieser weitergeleitet. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle) und Informationen für die Autorisierung (Zugangsberechtigung) gelangen über SAML (Security Assertion Markup Language) zum Dienstanbieter.

  • Verteilte Authentifikation und Autorisierung: HTW-Login und zugehöriges Passwort können sowohl zur Anmeldung für Dienste der HTW Dresden als auch für Angebote anderer Einrichtungen bzw. Diensteanbieter genutzt werden

  • Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen, ohne erneute Eingabe von Login und Passwort an jedem einzelnen Dienst, nutzbar.

  • Datenschutz: Der Benutzer kann seine persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.

  • Sicherheit: Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.

Herausgegebene Attribute und Datenschutz

Shibboleth unterstützt Benutzer und Diensteanbieter in Bezug auf Datensparsamkeit und Identitätsmanagement. Passwörter gelangen niemals zu den Diensteanbietern und deren IT-Systemen. Gegenüber einigen Diensteanbietern genügt eine anonyme Identifikation mittels einer sogenannten transientId, einem zufälligen, kurzlebigen und gegenüber dem Service Provider intransparenten Identifizierungsmerkmal.

Die an einen Dienst zu übermittelnden Daten werden dem Benutzer nach der Autorisierung gegenüber dem Hochschulrechenzentrum der HTW Dresden zunächst angezeigt.

Zur endgültigen Autorisierung gegenüber dem Service Provider muss der Nutzer der Übermittlung der Daten explizit zustimmen (Button „Bestätigen“). Alternativ kann der Nutzer die Herausgabe der Daten verweigern (Browserfenster schließen).

Anmeldung Shibboleth
Shibboleth Digital Card

Shibboleth-Attribute (* Attribut mit Standard-Berechtigung: Diese Attribute, dürfen alle Diensteanbieter im DFN-AAI auslesen.)

# Beschreibung attributeID mögliche Werte
1 zufällige, kurzlebige Kennung transientID*  
2 Berechtigung eduPersonEntitlement*  
3 Art der Zugehörigkeit plus Domain Namen eduPersonScopedAffiliation* student@htw-dresden.de, employee@htw-dresden.de, member@htw-dresden.de, affliate@htw-dresden.de
4 Art der Zugehörigkeit zur eigenen Organisation eduPersonAffiliation student, employee, member, affliate
5 Nutzer-ID, welche Namensbestandteile enthalten kann eduPersonPrincipalName @htw-dresden.de
6 Nachname sn Muster
7 Vorname givenName Max
8 E-Mail-Adresse mail @htw-dresden.de
9 Organisationsname o HTW Dresden
10 Organisationseinheit, z.B. Fakultät, zentr. Einr. ou informatik
11 Matrikel-Nummer schacPersonalUniqueCode 99999
12 Fachsemester dfnEduPersonTermsOfStudy 10
13 Studiengang dfnEduPersonFieldOfStudyString 042 (Wirtschaftsinformatik)
14 Studienganggruppe dfnEduPersonFeaturesOfStudy 09-042-01
15 Geburtsdatum schacDateOfBirth 19990101 (1.1.1999)
16 Geschlecht schacGender 1 (männlich), 2 (weiblich)
17 anonyme, aber eindeutige Kennung des Nutzers persistentId  

Über den IdP der HTW Dresden werden zurzeit folgende Attribute an die aktuell zugelassenen Dienstanbieter übermittelt.

Angebundene Dienstanbieter (* ohne Standard-Berechtigung, ** im Testbetrieb)

# Dienst Webseite Attribute (attributeID)*
1 Opal-Online-Plattform für akademisches Lehren https://bildungsportal.sachsen.de givenName, sn, mail, o, ou, eduPersonPrincipalName, eduPersonAffiliation, dfnEduPersonTermsOfStudy, dfnEduPersonFeaturesOfStudy, dfnEduPersonFieldOfStudyString, schacPersonalUniqueCode, schacGender
2 Microsoft Office 365 ProPlus für Studierende https://campussachsen.tu-dresden.de/ persistentId
3 Springer Link http://link.springer.com  
4 VMware Academic Program
(Zugriff nur für Angehörige der Fakultät Informatik/Mathematik!)
VMware Academic Program Store ou, persistentId
5 OnTheHub**
kostenlose Software fürs Studium
OnTheHub ou, persistentId
6 GigaMove**
Dateien bis zu 2GB sicher und bequem mit anderen teilen
Gigamove sn, givenname, mail
7 DFN Webkonferenzen (incl. Telefonkonferenz)**
(Zugriff nur für HTW Mitarbeiter)
DFN Webkonferenz sn, givenname, mail
8 QIS-Portal
Notenportal für Studierende und Lehrende
Notenportal (HISQIS) qislogin