Single Sign-on
Shibboleth
Shibboleth ist ein System zur verteilten Authentifizierung- und Autorisierung insbesondere webbasierter Anwendungen. Wollen Sie eine für Shibboleth eingerichtete Webanwendung nutzen, leitet der Betreiber dieser Anwendung (der sog. Service Provider, SP) Sie vorübergehend zu uns (einem sog. Identity Provider, IdP) um. Auf einer in der Universit?t Bremen befindlichen Login-Seite loggen Sie sich mit Ihrem Benutzernamen und Ihrem Passwort ein, anschlie?end werden Sie automatisch zur Webanwendung des Service Providers zurückgeleitet. Anhand der übermittelten Benutzerdaten kann der Service Provider nun entscheiden, ob er Ihnen Zugriff auf die von Ihm zur Verfügung gestellte Webanwendung gew?hrt.
Service- und Identity Provider schlie?en sich zu sogenannten F?derationen zusammen. Die Universit?t Bremen betreibt eine eigene, lokale F?deration und ist au?erdem Mitglied in der DFN-AAI-F?deration des Deutschen Forschungsnetzes. (Der besondere Vorteil dieser f?derativen L?sung besteht darin, das die Betreiber der IdPs und SPs nicht jeweils untereinander Vertr?ge bzw. Datenschutzvereinbarungen schlie?en müssen, sondern nur jeweils eine Vereinbarung mit dem F?derationsbetreiber.)
Shibboleth erm?glicht es, ursprünglich nur lokal verfügbare Anwendungen auch für Mitglieder anderer Institutionen innerhalb einer F?deration zu ?ffnen. Dies kann nach Wahl des Diensteanbieters global ("alle Mitglieder aller anderen F?derationsteilnehmer haben Zugriff") oder selektiv anhand der vom IdP übermittelten Attribute erfolgen ("alle Mitarbeiter und Studenten der Universit?ten Berlin und Stuttgart haben Zugriff").
Datenweitergabe
Wenn Sie sich mit Shibboleth bei einem au?eruniversit?ren Service Provider anmelden, werden pers?nliche Daten an diesen übertragen. Daher werden Sie nach dem Login vom Identity Provider gefragt, ob Sie mit der Weitergabe dieser Daten einverstanden sind. Wenn Sie eine Weitergabe Ihrer Daten ablehnen, k?nnen Sie den entsprechenden Dienst nicht nutzen.
Welche Daten weitergegeben werden, h?ngt von 澳门皇冠_皇冠足球比分-劲爆体育eren Faktoren ab und kann nicht in einer einfachen Tabelle wiedergegeben werden. Service Provider, die in der F?deration des Deutschen Forschungsnetzes oder der eduGain-F?deration sind, erhalten jeweils unterschiedliche Attributs?tze. Zus?tzlich k?nnen für einzelne Service Provider Sonderregeln konfiguriert sein. Um gr??tm?gliche Transparenz zu erreichen, werden Ihnen die weitergegebenen Daten (sog. Attribute) auf der Webseite, auf der Sie Ihr Einverst?ndnis geben müssen, detailliert aufgelistet.
Attribute
Im folgenden erl?utern wir die nicht-selbsterkl?renden Attribute, die (mit Ihrem Einverst?ndnis) an Service Provider weitergegeben werden.
| uid | Ihr Accountname. |
| uidNumber | Die interne numerische Kennung Ihres Accounts. |
| zfnPersID | Die interne numerische Kennung Ihrer Person. |
| eduPersonAffiliation | Ihr Status an der Uni Bremen. M?gliche Werte sind faculty, employee, staff, member, student und affiliate. |
| eduPersonScopedAffiliation | Ihr Status an der Uni Bremen und Abteilungen und Organisationen in und an der Uni Bremen. Obwohl das nach E-Mail-Adressen aussieht hat es damit nichts zu tun. |
| eduPersonEntitlement | Entitlements sind zus?tzliche mit Ihrem Account oder Ihrer Person verknüpfte Attribute. Diese werden h?ufig genutzt, um besondere Zugriffsrechte zu speichern. |
| eduPersonPrincipalName | Ihre prim?re Kennung an der Uni Bremen. |
| eduPersonUniqueID | Dieses Attribut enth?lt eine pseudonyme, automatisch erzeugte und global eindeutige Kennung. Es kann von Service Providern bspw. zur Personalisierung der angebotenen Dienstes genutzt werden, ohne das dem Service Provider Rückschlüsse auf Ihre Identit?t an der Universit?t m?glich sind. |
| samlSubjectID | siehe eduPersonUniqueID |
| samlPairwiseID | Dieses Attribut ist ?hnlich wie die samlSubjectID, ist aber für jeden Service Provider individuell. Dadurch k?nnen unterschiedliche Service Provider Ihre Nutzer auch bei einem Datenabgleich nicht miteinander verknüpfen. |
N?here Informationen zum eduPerson-Standard finden Sie bei REFEDS.
Logout
Ein Single Logout ist aus technischen Gründen nur sehr schwierig zu realisieren - n?here Erl?uterungen zur Problematik finden technisch Interessierte hier.
Daher sollten Sie Shibboleth-gesicherte Dienste nicht von ?ffentlichen Terminals - beispielsweise CIP-Rechnern oder Internet-Cafes - nutzen. L?sst sich eine Benutzung an einem ?ffentlichen Terminal aus praktischen Gründen nicht vermeiden, sollten Sie nach Abschluss der Sitzung unbedingt Ihre privaten Daten (und damit auch den Shibboleth-Sitzungsschlüssel) im Browser l?schen.