Shibboleth - Single Sign On (SSO) - Dokumentation

Eine neue Schnittstelle zur Anbindung an das IDM

  1. Einführung
    1. Was ist Shibboleth?
    2. Wofür wird es genutzt?
  2. Aufbau + Funktion
    1. Welche Bestandteile gibt es?
    2. Wie funktioniert es?
  3. Warum Shibboleth?
    1. Alternativen
    2. Welche Vorteile bringt Shibboleth?
  4. Anbindung / Umsetzung
    1. Voraussetzungen
    2. Beantragung
    3. Installation
    4. Konfiguration
    5. Sonstiges
    6. FAQ / Common Errors
  5. Entwicklung an der TU
    1. Vergangenheit
    2. Aktueller Stand / Zukunft
  6. DFN-AAI Förderation
  7. Links / Dokumentation

1. Einführung


a) Was ist Shibboleth?


b) Wofür wird es genutzt?

Basierend auf der Security Assertion Markup Language (SAML)

2. Aufbau + Funktion


a) Welche Bestandteile gibt es?


b) Wie funktioniert es?

Je nach Konfiguration des SP kann der Ablauf vom gezeigten Verhalten abweichen.
Dies hängt davon ab, ob der Dienst z.B. für eine einzelne Einrichtung bereit steht oder mehreren zeitgleich angeboten wird.

Bei nur einer Zieleinrichtung entfallen die Schritte 2-4!

WAYF
browser-flow
IdP SP
  1. Nutzer wählt die gewünschte URL (Resource beim SP) in seinem Browser aus
  2. SP prüft ob Nutzer bereits eingeloggt
    • bei Erfolg liefert der SP die angeforderte Seite aus (der weitere Ablauf wird gestoppt)
    • bei Miss-Erfolg leitet der SP den Nutzer an einen Discovery-Service weiter (via Redirect)
  3. Nutzer wählt aus einer Liste, zu welcher Organisation er gehört
  4. der Discovery-Service leitet den Nutzer (via Redirect) an den ursprünglichen SP zurück
  5. der SP stellt nun eine Authentifizierungs-Anfrage an den ausgewählten IdP
    • ist der Nutzer bereits am IdP eingeloggt so wird er wieder an den SP zurückgeleitet (keine weiteren Schritte am IdP)
    • existiert keine gültige Session für den Nutzer fragt der IdP den Nutzer nach seinen Zugangsdaten (in Form einer Login-Seite)
  6. Nutzer gibt seine Zugangsdaten am IdP ein
  7. bei Erfolg wird der Nutzer vom IdP wieder zurück an den SP geschickt
    • der IdP teilt dem SP unter anderem mit, dass sich dieser erfolgreich Authentifiziert hat
    • darüber hinaus werden wenn vom Nutzer aktzeptiert weitere Informationen (Attribute) an den SP weitergegeben
    • der SP wertet die Attribute aus, um eventuelle Zugriffsberechtigungen zu prüfen
    • darf der Nutzer auf die angeforderte Seite zugreifen, so wird ihm diese ausgeliefert

3. Warum Shibboleth?


a) Alternativen


b) Welche Vorteile bringt Shibboleth?

Einziger Nachteil aus Sicht des Anbieters: kein direkter Zugriff auf Nutzerdaten

4. Anbindung / Umsetzung


a) Voraussetzungen

Linux: Ubuntu, Debian, Red Hat, Cent OS, Open Suse, SLES, ...
Windows: Server 2003, 2008, 2012, ...


b) Beantragung

Das Shibboleth-Antragsformular, welches notwendig ist damit Sie einen Ihrer Dienste "shibbolisieren" und an den Identityprovider der TU Dresden anbinden können, finden Sie im Dienstekatalog des ZIH unter dem Punkt Authentifizierungs­dienste.

Möchten Sie die technische Anbindung zunächst testen um mögliche Probleme zu erkennen oder einfach nur Erfahrungen im Umgang mit Shibboleth sammeln, so stellt die TU Dresden neben einem produktiven Shibboleth-System auch eine Test-Instanz zur Verfügung.
Eine Anbindung an die Test-Umgebung ist jeder Zeit möglich und ohne große Beantragungs-Prozesse verbunden. Hier genügt eine formlose E-Mail an den Servicedesk.
Bitte beachten Sie jedoch, dass die vom Test-System bereit gestellten Nutzer-Informationen lediglich Dummy-Werte sind und keine Echtdaten enthalten.
Dafür besteht hier die Möglichkeit beliebige Accounts mit Wunschwerten zu erhalten um z.B. interne Berechtigungen Ihrer Anwendungen zu prüfen.

Bevor Sie den Antrag nun ausgefüllt und unterschrieben (im Idealfall digital unterschrieben) an den Servicedesk senden, um an das Produktivsystem angebunden zu werden, lesen Sie sich bitte zunächst (falls nicht bereits getan) die folgenden Schritte zur Einrichtung Ihres Shibboleth-Serviceproviders durch.
Welche Attribute Sie beantragen und aus dem IDM-System geliefert bekommen können, sowie eine nähere Beschreibung der Attribut-Definitionen entnehmen Sie diesen PDF-Dokumenten:

Damit wir Ihren Dienst final anbinden können, so benötigen wir noch die Metadaten Ihres SP.
Am besten hängen Sie diese gleich an das Ticket zur Beantragung an.
Genauere Informationen was die Metadaten eigentlich sind, was diese enthalten und wie Sie diese erhalten entnehmen Sie dem Punkt Metadaten innerhalb der Installations-Anweisungen dieser Anleitung.

Wenn Sie Ihren Dienst hochschulübergreifend anbieten möchten, so dass auch Angehörige anderer Hochschulen diesen in Anspruch nehmen können, so kreuzen Sie dies im Antrag an.
Wir kümmern uns dann darum, dass Ihr SP in die DFN-AAI aufgenommen wird, so dass er automatisch anderen Hochschulen zur Verfügung steht.


c) Installation

Alle Angaben in dieser Anleitung beziehen sich auf SLES12 SP1 mit Apache 2.4 und Shibboleth 3.0.3!


d) Konfiguration

Alle Angaben in dieser Anleitung beziehen sich auf SLES12 SP1 mit Apache 2.4 und Shibboleth 3.0.3!



e) Sonstiges








f) FAQ / Common Errors

Weitere bekannte Fehler finden Sie direkt beim Hersteller beschrieben.

5. Entwicklung an der TU


a) Vergangenheit


b) Aktueller Stand / Zukunft

6. DFN-AAI Förderation


7. Links / Dokumentation