Shibboleth

Shibboleth

Shibboleth ist ein Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen, das es ermöglicht, mit einer einzigen Anmeldung verschiedene Anwendungen zu nutzen - sowohl innerhalb der Universität Passau als auch an anderen Universitäten und Einrichtungen, die innerhalb desselben Verbundes teilnehmen.

Funktionsweise

Beispiele für Shibboleth-gesicherte Webanwendungen sind geschützte Angebote von Verlagen, der Zugang zu E-Learning-Systemen und die Registrierung bei der Virtuellen Hochschule Bayern (VHB). Bei der Nutzung einer Shibboleth-gesicherten Webanwendung (Service Provider) leitet Sie diese zum Lokalisierungsdienst weiter. Dort wählen Sie aus, zu welcher Einrichtung Sie gehören (Universität Passau). Dadurch werden Sie zum Identitätsdepot (Identity Provider) der Universität Passau weitergeleitet, an dem Sie sich mit Ihrer Benutzerkennung und ihrem Passwort anmelden können. Nach erfolgreicher Anmeldung und ggf. Prüfung der Berechtigung werden Sie automatisch an die Webanwendung zurückgeleitet und können diese nun nutzen. Ihr Passwort wird niemals an die Webanwendung übertragen. Die Überprüfung Ihres Passworts erfolgt ausschließlich auf Rechnern der Universität Passau.

Single-Sign-On

Wenn Sie sich mit aktivierter Option "angemeldet bleiben" angemeldet haben, müssen Sie sich zur Nutzung weiterer Anwendungen innerhalb des Verbundes nicht noch einmal anmelden (Single-Sign-On). Das funktioniert innerhalb desselben Verbundes von Webanwendungen und Identitätsdepots. Solch ein Verbund heißt auch Föderation. Die Föderation, der die Universität Passau angehört, ist die DFN-AAI-Föderation des Deutschen Forschungsnetzes. AAI steht für Authentifizierung, Autorisierung und Infrastruktur. Alle Mitglieder der Föderation haben sich vertraglich verpflichtet, bestimmte Regeln einzuhalten.

Zugangsberechtigung

Shibboleth ermöglicht es, Webanwendungen auch für Mitglieder anderer Institutionen innerhalb einer Föderation zu öffnen. Hierbei entscheidet der Anbieter der Webanwendung - unter Berücksichtung von lizenzrechtlichen und rechtlichen Rahmenbedingungen - welchem Personenkreis einer Institution er den Zugang ermöglicht. Dies können zum Beispiel alle Studierenden und/oder alle Beschäftigten der Universität Passau sein. Um festzustellen, ob Sie zum berechtigten Personenkreis gehören, werden nach erfolgreicher Anmeldung bestimmte Attribute an die Webanwendung übertragen. Alle Webanwendungen im Verbund der DFN-AAI-Föderation erhalten standardmäßig folgende zusätzlichen Informationen über Sie, sofern Sie an der Universität Passau studieren oder beschäftigt sind:

  1. Zugehörigkeit (einrichtungsübergreifend): member@uni-passau.de
    Das weist Sie als Mitglied der Universität Passau gegenüber der Anwendung aus.
  2. Berechtigung: urn:mace:dir:entitlement:common-lib-terms
    Diese Berechtigung ist vor allem für die Nutzung von auf Universitäts-Mitglieder beschränkten Bibliotheksdiensten und Verlagsangeboten erforderlich.

Weitere Attribute und Werte werden je nach Bedarf der Anwendung freigeschaltet (z.B. die Matrikelnummer für die Registrierung bei der vhb, der Virtuellen Hochschule Bayern). Für die Zugehörigkeit gibt es verschiedene Kategorien, von denen auch mehrere gleichzeitig belegt sein können:

  • member@uni-passau.de = Studierende und Beschäftigte der Universität Passau
  • student@uni-passau.de = Studierende der Universität Passau
  • employee@uni-passau.de = Beschäftigte der Universität Passau
  • faculty@uni-passau.de = Lehrpersonal der Universität Passau
  • staff@uni-passau.de = Nicht-lehrendes Personal der Universität Passau
  • affiliate@uni-passau.de = Gäste und sonstige Personen der Universität Passau

Datenschutz und Sicherheit

Die Übermittlung von Daten an andere Organisationen unterliegt dem Datenschutz, wenn es sich um personenbezogene Daten handelt. Das Shibboleth-Verfahren ermöglicht es, mit personenbezogenen Daten besonders sparsam umzugehen, da nur wirklich benötigte Daten übertragen werden, welche der Benutzerin bzw. dem Benutzer vor der Übertragung angezeigt werden. Alle Diensteanbieter in der Föderation des Deutschen Forschungsnetzes haben sich vertraglich zur Einhaltung der einschlägigen Datenschutzbestimmungen verpflichtet.

Allgemeine Aspekte zum Datenschutz beim AAI-Dienst des Deutschen Forschungsnetzes

Die Übermittlung Ihrer Daten an die Shibboleth-gesicherte Webanwendung erfolgt unmittelbar zum Zeitpunkt der Anmeldung. Bei der ersten Anmeldung bei einer Webanwendung oder wenn Sie die Checkbox "zu übermittelnde Daten anzeigen" aktivieren, erhalten Sie vor der Übertragung Ihrer Daten eine Übersicht aller übertragenen personenbezogenen Informationen. Wenn Sie nicht mit der Übertragung der angezeigten Daten an den Diensteanbieter einverstanden sind, können bzw. sollten Sie den entsprechenden Dienst nicht nutzen.

Ber erfolgreicher Anmeldung mit aktivierter Option "angemeldet bleiben" wird ein Browser-Cookie lokal auf Ihrem Rechner gespeichert. Damit haben Sie nach der Anmeldung so lange Zugang zu allen an das Shibboleth-System angeschlossenen Webanwendungen, bis Sie den Browser schließen. Zur Abmeldung von allen Anwendungen müssen Sie daher den Browser komplett beenden. Darauf sollten Sie besonders dann achten, wenn auch andere Personen den zur Shibboleth-Anmeldung verwendeten Rechner benutzen.