Shibboleth bzw. SAML2 (Security Assertion Markup Language ) ist ein gesichertes Anmeldeverfahren für Web-Dienste. Bei diesem Anmeldeverfahren wird die Authentifkation zu einem Identity Provider (IdP) umgeleitet. Der Service Provider (SP) erhält lediglich Zugriff auf Benutzerattribute für die lokale Autorisation.

Neben dem Zugriff auf externe Web-Dienste, lassen sich mit Shibboleth lokale Angebote (Cloud-Speicher, o.Ä.) absichern. Eine eigene Benutzerverwaltung ist in diesem Fall nicht erforderlich. Der Identity-Provider der HSB übernimmt die Anmeldung und Passwort abfrage.

Nach erfolgreicher Anmeldung erhält ein Benutzer ein verschlüsseltes Cookie. Mit diesem Cookie authentifziert sich der Benutzer bei weiteren Web-Diensten, ohne sein Passwort erneut eingeben zu müssen. Der Service-Provider ist in der Lage ( z.B. bei PHP mittels $_SERVER-Variablen ) auf die übertragenen Benutzerattribute zuzugreifen.

Durch die Teilnahme an der AAI-Föderation vom DFN ist er der Hochschule Bremen erlaubt, Service-Provider für alle Teilnehmer der Föderation anzubieten. Zukünftige Anbieter von Web-Diensten müssen die Entscheidung treffen, ob lediglich Personen an der Hochschule Bremen mit dem Dienst arbeiten sollen oder die Zusammenarbeit mit anderen Einrichtungen ( z.B. mit Personen der Uni Bremen ) gewünscht ist.

Als Service-Provider im DFN-AAI gibt es zwei Einstufungen der Verlässlichkeitsklassen.

• Basic
• Advanced

An die jeweilige Klasse sind Bedingen der Identity-Provider geknüpft bezüglich der Pflege und Aktualität von Benutzerdaten. Identity-Provider innerhalb der Verlässlichkeitsklasse verpflichten sich die jeweiligen Kriterien einzuhalten.

• Verlässlichkeitsklassen

Voraussetzung zur Teilnahme an der AAI ist die Nutzung von einem Zertifikat aus der DFN-PKI. Zertifikate können beim Rechenzentrum beantragt werden.

Aus aktuellem Anlass empfehlen wir den Blog vom DFN-PKI als Referenz für Einstellungen am Web-Server. Neben den Beispielen aus dem AAI-Wiki vom DFN lassen sich gute Konfigurationen herleiten, um einen sicheren Web-Dienst anbieten zu können. Zur Überprüfung aller Einstellungen bietet SSLLabs einen Online-Test.

Einen unverschlüsselten und ungesicherten Web-Dienst lehnt das Rechenzentrum als Teilnehmer an der AAI ab.

• Beantragung von Zertifikaten
• DFN-PKI Blog
• SSL-Test für Web-Server

Für die Übertragung von Parametern, Einstellungen und Serven bietet die DFN-AAI einen Metadaten-Dienst. Je nachdem, ob ein Dienst nur für Hochschulangehörige oder im DFN angeboten wird, existieren verschiedene Datensätze.

Die Verwaltunng der Metadaten für die Hochschule Bremen übernimmt das Rechenzentrum. Neue Service-Provider können nur in Absprache mit dem Rechenzentrum in den jeweiligen Datensatz aufgenommen werden.

• Weiter Informationen zu den Metadaten

Als Service-Provider erhält man ( nach erfolgreicher Anmeldung ) persönenbezogene Attribute und Werde des jeweiligen Benutzers. Mit der Teilnahme an der AAI erhält man unterschiedlichen Zugriff auf die Daten. Weiter Informationen sind auf den folgenden Seiten dokumentiert:

• Service-Provider (Intern)
• Service-Provider (Extern)

• DFN-AAI Wiki
• Shibboleth-Konsortium Wiki