Shibboleth

 

 

Shibboleth ist eine Software, die zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices dient. Entwickelt wurde es von Internet2, ein führende US-Konsortium für hochentwickelte Netzwerke. Shibboleth setzt das Single Sign-on Prinzip um, das heißt, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung authentisieren muss, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können. Shibboleth basiert auf einer Erweiterung des Standards SAML(Security Assertion Markup Language).

Die Software besteht aus drei Teilen:

 

1. Identity-Provider (IdP): befindet sich bei der Heimateinrichtung

2. Service-Provider (SP): befindet sich beim Anbieter

3. Lokalisierungsdienst oder Discoveryservice (DS/WAYF)

Funktionsweise von Shibboleth

 

Die Funktionsweise von Shibboleth lässt sich am einfachsten anhand des folgenden Szenarios erklären, Figur 1:

 

Authentifizierung (Wer bist du?)

 

1. Ein Benutzer will auf eine geschützte Ressource über einen Web-Browser zugreifen. Der Anbieter nimmt die Anfrage entgegen und prüft, ob der Benutzer bereits authentifiziert ist. Wenn nicht, wird er zu einem Lokalisierungsdienst weitergeleitet.

2. Der Lokalisierungsdienst bietet eine Auswahl von Einrichtungen an. Der Benutzer wählt seine Heimateinrichtung aus und wird zu dieser weitergeleitet.

3. Die Heimateinrichtung prüft, ob der Benutzer bereits authentifiziert ist. Ist dies nicht der Fall, wird der Benutzer aufgefordert, dies zu tun (zum Beispiel mit Benutzerkennung und Passwort).

4. Die Heimateinrichtung stellt einen "digitalen Ausweis" aus und leitet den Benutzer zum Anbieter zurück. Der Anbieter prüft den Inhalt des digitalen Ausweises.

 

 

 

Autorisierung (Was darfst du?)

 

Benötigt der Anbieter weitere Informationen, um zu entscheiden, ob der Benutzer auf die gewünschte Ressource zugreifen darf (zum Beispiel die Fakultätszugehörigkeit bei einer Universität), so fragt er bei der Heimateinrichtung des Benutzers nach. Der Anbieter prüft über das eigene System, ob der Benutzer auf die Ressource zugreifen darf, und gestattet den Zugriff oder lehnt ihn ab.

 

Zum Seitenanfang

Druckversion

  Diese Seite wurde zuletzt am  14.06.2018  aktualisiert