Dienstbeschreibung


Immer mehr Inhalte werden innerhalb der RWTH Aachen über das Web, beziehungsweise über Web-Anwendungen bereitgestellt. Dabei ist der Inhalt meist dynamisch und nur für definierte Benutzergruppen gedacht - seien es Foren für bestimmte Studiengänge, Online-Publikationen oder Dokumentationssysteme. Für die Zugriffskontrolle ist es also notwendig, eine Authentifizierung und Autorisierung der Nutzer sicher zu stellen.

Shibboleth ist ein Single-Sign-On Authentifizierungsdienst. Das IT Center betreibt einen zentralen Shibboleth Login-Server und eine lokale Föderation für die Authentifizierung von Nutzern an lokalen Web-Anwendungen. Die RWTH ist Teil der Föderation des Deutschen Forschungsnetzes (DFN AAI). Darüber lassen sich mit dem zentralen Login-Server auch zahlreiche Dienste anderer Hochschulen nutzen, die Mitglieder des DFN sind.

Über Ihren Campus Office / Webdienste Account erhalten Sie als Nutzer Zugang zu einer über Shibboleth geschützten Applikation.

Mit dem Shibboleth-Verfahren können Sie als Anbieter einer Web-Anwendung den zentralen Login-Server im IT Center für die Authentifizierung Ihrer Nutzer verwenden. Der zentrale Login-Server hat Zugriff auf ausgewählte Daten des Identity Managements der RWTH Aachen. Daher kann Ihrer Anwendung beispielsweise mitgeteilt werden, dass es sich bei der angemeldeten Person um einen Studierenden handelt. Ihre Anwendung kann anhand der gelieferten Personenattribute entscheiden, welche Zugriffsrechte gewährt werden (Autorisierung), ohne dass sie ein weiteres, lokales Benutzerkonto zur Verfügung stellen müssen. Über eine vom Login-Server gelieferte persistente und eindeutige ID des Benutzers haben Sie die Möglichkeit, ein lokales Benutzerprofil zuzuordnen und dort weitere Daten zur Person speichern.

Softwarekonfiguration


Shibboleth ist ein auf allgemeinen Standards (Security Assertion Markup Language (SAML)) basierendes open source Single-Sign-On-System.

Benutzer

Als Nutzer müssen Sie keine besondere Software installieren. Beachten Sie aber bitte einige Hinweise zur Einstellung ihres Webbrowsers in der FAQ.

Betreiber einer Webanwendung

Um Ihre Web-Anwendung über Shibboleth zu schützen, müssen Sie einen sog. Service Provider betreiben - das Gegenstück zum zentralen Shibboleth Login-Server, dem Identity Provider. Bei Interesse lesen Sie bitte unter "Anbindung eines neuen Shibboleth Service Providers" weiter.

Malingliste für Betreiber eines Shibboleth Service Providers


Das IT Center betreibt für die RWTH AAI-Föderation die moderierte Mailingliste "aai-federation". Dort erhalten sie Informationen zu betriebs- und sicherheitsrelevanten Themen. Die dem IT Center bekannten Ansprechpartner werden automatisch eingeladen. Bei einem Wechsel des Ansprechpartners wenden sie sich bitte an das IT-Servicedesk.

Weiterführende Informationen


Übersichten

Mailinglisten, Archive

Metadatensätze der Identity Provider der RWTH Aachen