1. Hauptnavigation
  2. Navigation des Hauptbereiches
  3. Inhalt der Seite

DFN-AAI

Der DFN-Verein stellt über die DFN-AAI-Föderation eine Infrastruktur für Authentifizierung und Autorisierung (AAI) zur Verfügung, mit der bisherige Verfahren für den kontrollierten Zugang zu Informationen und Ressourcen nicht nur vereinfacht, sondern auch vereinheitlicht werden können. Realisiert wird der Dienst mit der Software Shibboleth. Die DFN-AAI bietet die Möglichkeit, sich für elektronische Dienste mit seinem RZ-Login als Studierender oder Mitarbeiter der HTW Dresden zu authentifizieren, ohne einen gesonderten Zugang beim Diensteanbieter beantragen und verwalten zu müssen. Die HTW Dresden ist der DFN-AAI-Föderation beigetreten und betreibt seit Januar 2014 einen Identify-Provider (IdP) in der Föderation.

Funktionsweise

Um die für den IdP der HTW Dresden freigeschaltenen Diensteanbieter nutzen zu können, benötigen die Benutzer der HTW Dresden ihr RZ-Login und das dazugehörige Passwort. Diese Daten werden nicht an die Diensteanbieter übertragen. Der Austausch der Daten mit dem IdP erfolgt verschlüsselt (HTTPS). Die Attribute, die von den Diensteanbieter benötigt werden, werden erst nach einer Bestätigung des Benutzers übertragen. Die Bestätigung ist pro Diensteanbieter und Login beim Dienst erforderlich. Alle teilnehmenden Einrichtungen sind durch den Vertrag mit dem DFN dazu verpflichtet, die ihnen übertragenen Daten nach dem Datenschutzgesetz zu behandeln.

Innerhalb der Authentifizierungs- und Autorisierungs-Infrastruktur sind vom DFN Vereinbarungen mit verschiedenen Diensteanbietern - den Service Providern (SP) - getroffen worden. Die an der DFN-AAI teilnehmenden Identity Provider (IdP) sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Möchte ein Benutzer erstmalig einen Dienst im DFN-AAI nutzen, wird er zu einem Lokalisierungsdienst (WAYF-Service - Where Are You From) geleitet. Hier wählt der Nutzer seine Heimateinrichtung (die HTW Dresden) als Identity Provider aus und wird daraufhin zu dieser weitergeleitet. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle) und Informationen für die Autorisierung (Zugangsberechtigung) gelangen über SAML (Security Assertion Markup Language) zum Dienstanbieter.

Vorteile von Shibboleth und der DFN-AAI

  • Verteilte Authentifikation und Autorisierung: RZ-Login und -Passwort können sowohl zur Anmeldung für Dienste der HTW Dresden als auch für Angebote anderer Einrichtungen bzw. Diensteanbieter genutzt werden

  • Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen, ohne erneute Eingabe von Login und Passwort an jedem einzelnen Dienst, nutzbar.

  • Datenschutz: Der Benutzer kann seine persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.

  • Sicherheit: Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.

Herausgegebene Attribute und Datenschutz

Shibboleth unterstützt Benutzer und Diensteanbieter in Bezug auf Datensparsamkeit und Identitätsmanagement. Passwörter gelangen niemals zu den Diensteanbietern und deren IT-Systemen. Gegenüber einigen Diensteanbietern genügt eine anonyme Identifikation mittels einer sogenannten transientId, einem zufälligen, kurzlebigen und gegenüber dem Service Provider intransparenten Identifizierungsmerkmal.

Die an einen Dienst zu übermittelnden Daten werden dem Benutzer nach der Autorisierung gegenüber dem RZ der HTW Dresden zunächst angezeigt. Zur endgültigen Autorisierung gegenüber dem Service Provider muss der Nutzer der Übermittlung der Daten explizit zustimmen (Button „Bestätigen“). Alternativ kann der Nutzer die Herausgabe der Daten verweigern (Browserfenster schließen).

Die HTW Dresden trägt dafür Sorge, dass nur Attribute herausgegeben werden können, die für die Erbringung des Dienstes erforderlich sind (Attribut-Filter). Die Standard-Berechtigungen, das heißt, welche Attribute alle Service Provider im DFN-AAI auslesen dürfen, sind in den Tabellen Shibboleth-Attribute und angebundene Diensteanbieter gekennzeichnet. Die Tabelle Shibboleth-Attribute listet die aktuell für den IdP der HTW Dresden verwendeten Attribute und deren Bedeutung auf. Beim DFN finden Sie weitergehende Informationen zum Datenschutz sowie zu den verwendeten Attributen.

Tabelle: Shibboleth-Attribute

Beschreibung attributeID mögliche Werte
anonyme, aber eindeutige Kennung des Nutzers persistentId
zufällige, kurzlebige Kennung transientID (1)
Berechtigung eduPersonEntitlement (1)
Art der Zugehörigkeit plus Domain Namen eduPersonScopedAffiliation (1) student@htw-dresden.de, employee@htw-dresden.de, member@htw-dresden.de, affliate@htw-dresden.de
Art der Zugehörigkeit zur eigenen Organisation eduPersonAffiliation student, employee, member, affliate
Nutzer-ID, welche Namensbestandteile enthalten kann eduPersonPrincipalName <login>@htw-dresden.de
Nachname sn Muster
Vorname givenName Max
E-Mail-Adresse mail <login>@htw-dresden.de
Organisationsname o HTW Dresden
Organisationseinheit, z.B. Fakultät, zentr. Einr. ou informatik
Matrikel-Nummer schacPersonalUniqueCode 99999
Fachsemester dfnEduPersonTermsOfStudy 10
Studiengang dfnEduPersonFieldOfStudyString 042 (Wirtschaftsinformatik)
Studienganggruppe dfnEduPersonFeaturesOfStudy 09-042-01
Geburtsdatum schacDateOfBirth 19990101 (1.1.1999)
Geschlecht schacGender 1 (männlich), 2 (weiblich)

(1) Attribut mit Standard-Berechtigung: Diese Attribute, dürfen alle Diensteanbieter im DFN-AAI auslesen.

Über den IdP der HTW Dresden sind aktuell die nachfolgend genannten Diensteanbieter zugelassen. Die Liste der an den jeweiligen Diensteanbieter übermittelten Attribute entnehmen Sie nachfolgender Liste.

Tabelle: Angebundene Diensteanbieter

Dienst Webseite Attribute (attributeID) (2)
Opal-Online-Plattform für akademisches Lehren bildungsportal.sachsen.de givenName, sn, mail, o, ou, eduPersonPrincipalName, eduPersonAffiliation, dfnEduPersonTermsOfStudy, dfnEduPersonFeaturesOfStudy, dfnEduPersonFieldOfStudyString, schacPersonalUniqueCode, schacGender
SAM - Sächsischer Arbeitsmarkt, Zugangsportal zu Stellenausschreibungen des Landes Sachsen pvptest.rz.uni-leipzig.de
Microsoft Office 365 ProPlus für Studierende campussachsen.tu-dresden.de persistentId
Springer Link link.springer.com
VMware Academic Program
(Zugriff nur für Angehörige der Fakultät Informatik/Mathematik!)
VMware Academic Program Store ou, persistentId
Dreamspark Premium (4)
kostenlose Microsoft-Produkte fürs Studium
Dreamspark Premium Store ou, persistentId
GigaMove (4)
Dateien bis zu 2GB sicher und bequem mit anderen teilen
Gigamove sn, givenname, mail
DFN Webkonferenzen (incl. Telefonkonferenz) (4)
(Zugriff nur für HTW Mitarbeiter)
DFN Webkonferenz sn, givenname, mail
QIS-Portal
Notenportal für Studierende und Lehrende
Notenportal (HISQIS) qislogin

(2) ohne Standard-Berechtigungen

(4) Im Testbetrieb

Aktualisiert: 29.08.2017  |  Autor: Prof. D. Reichelt