DFN-AAI

Shibboleth bzw. SAML2 (Security Assertion Markup Language ) ist ein gesichertes Anmeldeverfahren für Web-Dienste. Bei diesem Anmeldeverfahren wird die Authentifkation zu einem Identity Provider (IdP) umgeleitet. Der Service Provider (SP) erhält lediglich Zugriff auf Benutzerattribute für die lokale Autorisation.

Shibboleth für Web-Dienste an der HSB

Neben dem Zugriff auf externe Web-Dienste, lassen sich mit Shibboleth lokale Angebote (Cloud-Speicher, o.Ä.) absichern. Eine eigene Benutzerverwaltung ist in diesem Fall nicht erforderlich. Der Identity-Provider der HSB übernimmt die Anmeldung und Passwort abfrage.

Nach erfolgreicher Anmeldung erhält ein Benutzer ein verschlüsseltes Cookie. Mit diesem Cookie authentifziert sich der Benutzer bei weiteren Web-Diensten, ohne sein Passwort erneut eingeben zu müssen. Der Service-Provider ist in der Lage ( z.B. bei PHP mittels $_SERVER-Variablen ) auf die übertragenen Benutzerattribute zuzugreifen.

Globaler SP vs. Lokaler SP

Durch die Teilnahme an der AAI-Föderation vom DFN ist er der Hochschule Bremen erlaubt, Service-Provider für alle Teilnehmer der Föderation anzubieten. Zukünftige Anbieter von Web-Diensten müssen die Entscheidung treffen, ob lediglich Personen an der Hochschule Bremen mit dem Dienst arbeiten sollen oder die Zusammenarbeit mit anderen Einrichtungen ( z.B. mit Personen der Uni Bremen ) gewünscht ist.

Verlässlichkeitsklasse

Als Service-Provider im DFN-AAI gibt es zwei Einstufungen der Verlässlichkeitsklassen.

  • Basic
  • Advanced

An die jeweilige Klasse sind Bedingen der Identity-Provider geknüpft bezüglich der Pflege und Aktualität von Benutzerdaten. Identity-Provider innerhalb der Verlässlichkeitsklasse verpflichten sich die jeweiligen Kriterien einzuhalten.

Voraussetzungen zur Einrichtung

HTTPS-Verschlüsselung

Voraussetzung zur Teilnahme an der AAI ist die Nutzung von einem Zertifikat aus der DFN-PKI. Zertifikate können beim Rechenzentrum beantragt werden.

Für HTTPS-Zertifikate gibt es innerhalb vom DFN-PKI mit dem Zertifikatsprofil Shibboleth IdP SP seperate Zertifikate. Sofern im Vorfeld kein Zertifikat zur Verfügung steht, ist dieses Profil bitte bei der Beantragung auszuwählen.

Aus aktuellem Anlass empfehlen wir den Blog vom DFN-PKI als Referenz für Einstellungen am Web-Server. Neben den Beispielen aus dem AAI-Wiki vom DFN lassen sich gute Konfigurationen herleiten, um einen sicheren Web-Dienst anbieten zu können. Zur Überprüfung aller Einstellungen bietet SSLLabs einen Online-Test.

Einen unverschlüsselten und ungesicherten Web-Dienst lehnt das Rechenzentrum als Teilnehmer an der AAI ab.

Metadaten

Für die Übertragung von Parametern, Einstellungen und Serven bietet die DFN-AAI einen Metadaten-Dienst. Je nachdem, ob ein Dienst nur für Hochschulangehörige oder im DFN angeboten wird, existieren verschiedene Datensätze.

Die Verwaltunng der Metadaten für die Hochschule Bremen übernimmt das Rechenzentrum. Neue Service-Provider können nur in Absprache mit dem Rechenzentrum in den jeweiligen Datensatz aufgenommen werden.

Attribut-Freigabe

Als Service-Provider erhält man ( nach erfolgreicher Anmeldung ) persönenbezogene Attribute und Werde des jeweiligen Benutzers. Mit der Teilnahme an der AAI erhält man unterschiedlichen Zugriff auf die Daten. Weiter Informationen sind auf den folgenden Seiten dokumentiert:

start/aai/start.txt · Zuletzt geändert: 2018/11/15 07:58 von cvan-hoorn
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0