www.wikidata.de-de.nina.az

Shibboleth Mit sind mehrere verschiedene Software Komponenten gemeint über die Benutzer im Webbrowser auf geschützte Web

Shibboleth

Mit Shibboleth sind mehrere verschiedene Software-Komponenten gemeint, über die Benutzer im Webbrowser auf geschützte Webanwendungen zugreifen können. Dabei müssen sie sich in einer Browser-Sitzung nur einmal anmelden (Single Sign-on), um Ressourcen verschiedener Anbieter zu nutzen. Mit Shibboleth ist verteiltes Single Sign-on möglich: Die Benutzer, die auf eine geschützte Webanwendung zugreifen möchten, müssen ihre Nutzerkonten nicht bei einer zentralen Stelle haben, sondern sie können sie bei unterschiedlichen Einrichtungen haben, z. B. bei Hochschulen. Auch die zur Verfügung stehenden Webanwendungen müssen nicht alle von derselben Stelle betrieben werden. Die Shibboleth Software-Komponenten sind eine Möglichkeit, verteiltes Web Single Sign-on aufzubauen.

Shibboleth

Basisdaten

Entwickler Shibboleth Konsortium
Aktuelle Version 5.0.0 (IdP (Windows))
13.09.2023

5.0.0 (IdP (Linux))
13.09.2023

3.4.1.4 (SP)
11.10.2023

1.2.1 (EDS)
28.01.2019

Betriebssystem Microsoft Windows, Linux
Programmiersprache Java (IdP), C++ (SP)
Lizenz Apache-Lizenz, Version 2.0
shibboleth.net

Die Shibboleth-Komponenten implementieren hauptsächlich den SAML 2.0-Standard, es werden jedoch auch das CAS-Protokoll und – seit 2020 – OpenID Connect unterstützt.

Die Entwicklung von Shibboleth startete im Jahr 2000 bei Internet2. Inzwischen wird die Software vom Shibboleth Consortium entwickelt, das sich aus Mitgliedsbeiträgen von Firmen, nationalen Forschungsnetzen und einzelnen Hochschulen finanziert. Alle Komponenten stehen unter der Apache-Lizenz und sind damit Freie Software.

Etymologie Bearbeiten

Der Projektname stammt vom hebräischen Wort Schibboleth (hebr. שבולת) und bedeutet wörtlich „Strömung“, „Strom“ oder „Flut“. Im jüdischen Tanach (dem christlichen Alten Testament) im Buch der Richter 12,5–6 EU wird geschildert, wie ein Grenzposten an einer Furt alle Passanten auffordert, dieses Wort auszusprechen. Aufgrund der unterschiedlichen Aussprache diesseits und jenseits der Grenze wird zwischen Freund und Feind unterschieden. Deshalb wird das Wort heute in der Bedeutung von „Kennwort“ oder „Codewort“ verwendet. Vgl. in der Bibel Buch Richter 12,5f. wonach mit der falschen Aussprache dieses Wortes die Männer von Gilead 42.000 fliehende Efraimiter enttarnten und ermordeten.

Das Logo von Shibboleth ist ein Greif.

Komponenten Bearbeiten

Das Shibboleth Consortium entwickelt drei Software-Komponenten, die unabhängig voneinander eingesetzt werden können. Sie sind Implementierungen von Standards wie SAML 2.0 und sind damit interoperabel zu anderen standardkonformen Softwarelösungen. Damit ein Loginvorgang funktionieren kann, werden mindestens ein Identity-Provider und ein Service-Provider benötigt, die sich an die gleichen technischen Spezifikationen halten. Es kann, muss jedoch nicht auf beiden Seiten Shibboleth eingesetzt werden.

Funktionsweise Bearbeiten

Die Funktionsweise von Shibboleth lässt sich am einfachsten anhand des folgenden Szenarios erklären:

Einsatz Bearbeiten

Verteiltes SAML-basiertes Web Single Sign-on wird vor allem im Bereich Wissenschaft, Forschung und Lehre eingesetzt. Hier hat besonders der Shibboleth Identity Provider eine Vorrangstellung gegenüber anderen Software-Lösungen: Der IdP war nicht nur die erste, sondern bis heute auch die umfassendste Implementierung eines SAML-IdP. Es stehen eine Reihe von Plugins und Modulen zur Verfügung, es können eigene Login-Flows konfiguriert oder selbst programmiert werden. Überdies sichert die Finanzierung des Konsortium durch Mitgliedsbeiträge die langfristige Weiterentwicklung der Software.

Im Kontext von Hochschulen und Forschungseinrichtungen sind Shibboleth-Produkte, aber auch andere SAML-fähige Software, deshalb sehr verbreitet, weil der SAML-Standard den Bezug auf gemeinsame vertrauenswürdige Metadaten vorsieht: Einrichtungen und Dienstanbieter, die sich auf gemeinsame Regeln einigen, können sich in einer multilateralen Föderation zusammentun. Eine vertrauenswürdige Organisation stellt dann regelmäßig digital signierte Informationen darüber bereit, welche IdPs und SPs aktuell an der Föderation teilnehmen. Im Fall von SAML sind dies Metadatensätze im XML-Format. Jedes dieser Systeme holt sich ebenfalls diese Metadaten, prüft die Signatur und kommuniziert nur mit Gegenstellen, die auch von Föderationsteilnehmern betrieben werden. Dies reduziert den Aufwand des Metadatenaustausches, der ohne die Föderation zwischen allen Teilnehmenden selbst geschehen müsste.

Solche Föderationen können sowohl hausintern, als auch auf Bundesländer-Ebene, national oder international aufgebaut werden. Beispiele für Länderföderationen sind im deutschen Hochschulkontext das baden-württembergische bwIDM oder das nordrhein-westfälische IDM.nrw. Identity-Föderationen auf nationaler Ebene sind in Deutschland die DFN-AAI, die vom Verein zur Förderung eines Deutschen Forschungsnetzes e. V. (DFN-Verein) betrieben wird, in der Schweiz SWITCHaai und in Österreich die ACOnet Identity Federation. Unter dem Markennamen eduGAIN betreibt GÉANT zudem einen Zusammenschluss der nationalen Föderationen zu einer sogenannten Interföderation. Der Vorteil an der Interföderation ist, dass sich Personen aus einer teilnehmenden Hochschule in einem Land mit ihrem Hochschulkonto auch bei Dienstanbietern im Ausland einloggen können, wenn der Service Provider über die dortige Föderation an eduGAIN teilnimmt.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. www.shibboleth.net. (abgerufen am 18. Juli 2023).
  2. Release Notes. Abgerufen am 18. Oktober 2023 (englisch).
  3. Release Notes. Abgerufen am 18. Oktober 2023 (englisch).
  4. Release Notes. Abgerufen am 18. Oktober 2023 (englisch).
  5. Release Notes. Abgerufen am 19. Juli 2023 (englisch).
  6. shibboleth.atlassian.net. (abgerufen am 18. Juli 2023).
  7. shibboleth.atlassian.net. (abgerufen am 18. Juli 2023).
  8. Konfiguration von CAS im Shibboleth Identity Provider
  9. Konfiguration von OpenID Connect im Shibboleth Identity Provider
  10. Website des Shibboleth Consortiums
  11. Informationen zur Mitgliedschaft im Shibboleth Consortiums
  12. Mitgliederliste des Shibboleth Consortiums
  13. Lizenzhinweis in der Online-Dokumentation
  14. DFN-Vortragsfolien von Juni 2023 (pdf, siehe S. 4)
  15. Dokumentation der Plugins für den Shibboleth IdP
  16. bwIDM – Föderiertes Identitätsmanagement der baden-württembergischen Hochschulen
  17. idm.nrw - Machbarkeitsstudie föderiertes Identity Management in Nordrhein-Westfalen
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Mit Shibboleth sind mehrere verschiedene Software Komponenten gemeint uber die Benutzer im Webbrowser auf geschutzte Webanwendungen zugreifen konnen Dabei mussen sie sich in einer Browser Sitzung nur einmal anmelden Single Sign on um Ressourcen verschiedener Anbieter zu nutzen Mit Shibboleth ist verteiltes Single Sign on moglich Die Benutzer die auf eine geschutzte Webanwendung zugreifen mochten mussen ihre Nutzerkonten nicht bei einer zentralen Stelle haben sondern sie konnen sie bei unterschiedlichen Einrichtungen haben z B bei Hochschulen Auch die zur Verfugung stehenden Webanwendungen mussen nicht alle von derselben Stelle betrieben werden Die Shibboleth Software Komponenten sind eine Moglichkeit verteiltes Web Single Sign on aufzubauen ShibbolethBasisdatenEntwickler Shibboleth Konsortium 1 Aktuelle Version 5 0 0 IdP Windows 13 09 2023 2 5 0 0 IdP Linux 13 09 2023 3 3 4 1 4 SP 11 10 2023 4 1 2 1 EDS 28 01 2019 5 Betriebssystem Microsoft Windows LinuxProgrammiersprache Java IdP C SP Lizenz Apache Lizenz Version 2 0 6 7 shibboleth netDieser Artikel beschaftigt sich mit der Software Zu Wortern die die Herkunft der Sprecher ausweisen siehe Schibboleth Die Shibboleth Komponenten implementieren hauptsachlich den SAML 2 0 Standard es werden jedoch auch das CAS Protokoll 8 und seit 2020 OpenID Connect 9 unterstutzt Die Entwicklung von Shibboleth startete im Jahr 2000 bei Internet2 10 Inzwischen wird die Software vom Shibboleth Consortium entwickelt das sich aus Mitgliedsbeitragen von Firmen nationalen Forschungsnetzen und einzelnen Hochschulen finanziert 11 12 Alle Komponenten stehen unter der Apache Lizenz und sind damit Freie Software 13 Inhaltsverzeichnis 1 Etymologie 2 Komponenten 3 Funktionsweise 4 Einsatz 5 Weblinks 6 EinzelnachweiseEtymologie BearbeitenDer Projektname stammt vom hebraischen Wort Schibboleth hebr שבולת und bedeutet wortlich Stromung Strom oder Flut Im judischen Tanach dem christlichen Alten Testament im Buch der Richter 12 5 6 EU wird geschildert wie ein Grenzposten an einer Furt alle Passanten auffordert dieses Wort auszusprechen Aufgrund der unterschiedlichen Aussprache diesseits und jenseits der Grenze wird zwischen Freund und Feind unterschieden Deshalb wird das Wort heute in der Bedeutung von Kennwort oder Codewort verwendet Vgl in der Bibel Buch Richter 12 5f wonach mit der falschen Aussprache dieses Wortes die Manner von Gilead 42 000 fliehende Efraimiter enttarnten und ermordeten Das Logo von Shibboleth ist ein Greif Komponenten BearbeitenDas Shibboleth Consortium entwickelt drei Software Komponenten die unabhangig voneinander eingesetzt werden konnen Sie sind Implementierungen von Standards wie SAML 2 0 und sind damit interoperabel zu anderen standardkonformen Softwarelosungen Damit ein Loginvorgang funktionieren kann werden mindestens ein Identity Provider und ein Service Provider benotigt die sich an die gleichen technischen Spezifikationen halten Es kann muss jedoch nicht auf beiden Seiten Shibboleth eingesetzt werden Identity Provider IdP Der Identity Provider IdP befindet sich bei der Heimateinrichtung Dort greift er in der Regel auf ein Identitatsmanagement System z B einen Verzeichnisdienst zu in dem die Nutzerkonten der Einrichtung gepflegt werden Bei einem Loginvorgang pruft der IdP gegen dieses Identitatsmanagement System IdM ob die Nutzerkennung bekannt ist und die Zugangsdaten stimmen Ist dies der Fall so ist die Person authentifiziert Daruber hinaus hat der Identity Provider detaillierte Informationen uber die Person Sie werden in Form von standardisierten Attributen konfiguriert Die Informationen dafur konnen aus dem IdM geholt oder direkt im IdP generiert werden Beispiele fur gangige Attribute sind givenName Vorname sn Nachname oder mail E Mail Adresse Fur das Hochschul und Forschungsumfeld existieren spezielle Attributschemata um etwa Zugriffsberechtigungen oder Organisationszugehorigkeiten der Nutzenden ausdrucken zu konnen Beispiele fur solche Attribute sind eduPersonEntitlement fur Berechtigungen oder eduPersonAffiliation fur Gruppenzugehorigkeiten innerhalb von Hochschulen Im Identity Provider werden Regeln festgelegt welche Attribute uber die Personen an welche Service Provider herausgegeben werden durfen Die Nutzenden mussen der Freigabe dieser Informationen fur jeden Dienst einmalig zustimmen Service Provider SP Der Service Provider SP befindet sich beim Anbieter Dort sitzt die Software i d R vor der eigentlichen geschutzten Webanwendung beim Shibboleth SP in Form eines Moduls fur die Webserver Apache oder IIS Sie nimmt bei einem Loginvorgang die vom Identity Provider ubertragenen Attribute entgegen und pruft gegen ihre eigenen Regeln ob die Attribute und ggf auch die genauen Werte dieser Attribute fur einen Zugriff ausreichen Ist dies der Fall so autorisiert die Service Provider Software den Zugriff Einrichtungsauswahl Embedded Discovery Service EDS fruher WAYF Where are you from kann optional vom Betreiber eines Service Providers eingesetzt werden um dem Benutzer die Auswahl seiner Heimateinrichtung zu ermoglichenFunktionsweise BearbeitenDie Funktionsweise von Shibboleth lasst sich am einfachsten anhand des folgenden Szenarios erklaren Authentifizierung Wer bist du Eine Person mochte auf eine geschutzte Ressource zugreifen Der Anbieter nimmt die Anfrage entgegen und pruft ob die Person in ihrem Webbrowser bereits uber einen IdP angemeldet ist Wenn nicht wird sie zu einem Discovery Service weitergeleitet Der Discovery Service bietet eine Auswahl von Einrichtungen an Die Person wahlt ihre Heimateinrichtung aus und wird dann zum Identity Provider dieser Einrichtung umgeleitet Dort authentifiziert sie sich z B mit Nutzerkennung und Passwort Der Identity Provider der Heimateinrichtung stellt daraufhin die Attribute uber die Person zusammen die er aufgrund seiner Filterregeln an diesen speziellen Service Provider herausgeben darf Er prasentiert die zu ubertragenden Informationen der Person zur Zustimmung oder Ablehnung Im Fall von SAML 2 0 verpackt der IdP diese Informationen nach erfolgter Zustimmung in eine verschlusselte SAML Assertion und leitet den Benutzer zum Anbieter zuruck Im Fall von OpenID Connect 1 0 werden stattdessen ein Access Token ein ID Token und ggf ein Refresh Token mit entsprechenden Claims ubertragen Autorisierung Was darfst du Auf der Seite des Dienstanbieters nimmt die Service Provider Software die ubersendeten Informationen entgegen pruft nach ihren konfigurierten Regeln ob sie fur einen Zugriff auf die gewunschte Ressource ausreichen und gewahrt Zugriff oder lehnt ihn ab Einsatz BearbeitenVerteiltes SAML basiertes Web Single Sign on wird vor allem im Bereich Wissenschaft Forschung und Lehre eingesetzt Hier hat besonders der Shibboleth Identity Provider eine Vorrangstellung gegenuber anderen Software Losungen 14 Der IdP war nicht nur die erste sondern bis heute auch die umfassendste Implementierung eines SAML IdP Es stehen eine Reihe von Plugins und Modulen zur Verfugung 15 es konnen eigene Login Flows konfiguriert oder selbst programmiert werden Uberdies sichert die Finanzierung des Konsortium durch Mitgliedsbeitrage die langfristige Weiterentwicklung der Software Im Kontext von Hochschulen und Forschungseinrichtungen sind Shibboleth Produkte aber auch andere SAML fahige Software deshalb sehr verbreitet weil der SAML Standard den Bezug auf gemeinsame vertrauenswurdige Metadaten vorsieht Einrichtungen und Dienstanbieter die sich auf gemeinsame Regeln einigen konnen sich in einer multilateralen Foderation zusammentun Eine vertrauenswurdige Organisation stellt dann regelmassig digital signierte Informationen daruber bereit welche IdPs und SPs aktuell an der Foderation teilnehmen Im Fall von SAML sind dies Metadatensatze im XML Format Jedes dieser Systeme holt sich ebenfalls diese Metadaten pruft die Signatur und kommuniziert nur mit Gegenstellen die auch von Foderationsteilnehmern betrieben werden Dies reduziert den Aufwand des Metadatenaustausches der ohne die Foderation zwischen allen Teilnehmenden selbst geschehen musste Solche Foderationen konnen sowohl hausintern als auch auf Bundeslander Ebene national oder international aufgebaut werden Beispiele fur Landerfoderationen sind im deutschen Hochschulkontext das baden wurttembergische bwIDM 16 oder das nordrhein westfalische IDM nrw 17 Identity Foderationen auf nationaler Ebene sind in Deutschland die DFN AAI die vom Verein zur Forderung eines Deutschen Forschungsnetzes e V DFN Verein betrieben wird in der Schweiz SWITCHaai und in Osterreich die ACOnet Identity Federation Unter dem Markennamen eduGAIN betreibt GEANT zudem einen Zusammenschluss der nationalen Foderationen zu einer sogenannten Interfoderation Der Vorteil an der Interfoderation ist dass sich Personen aus einer teilnehmenden Hochschule in einem Land mit ihrem Hochschulkonto auch bei Dienstanbietern im Ausland einloggen konnen wenn der Service Provider uber die dortige Foderation an eduGAIN teilnimmt Weblinks BearbeitenOffizielle Website Konzeptuelle und technische Erklarung in drei Schwierigkeitsstufen Online Demo der SWITCH AAI Projekt verteilte Authentifizierung Autorisierung und Rechteverwaltung AAR an der Albert Ludwigs Universitat Freiburg Deutsche Foderation DFN AAI ACOnet Identity Federation SWITCHaai Vollstandige Liste der Foderationen Research and Education Einzelnachweise Bearbeiten www shibboleth net abgerufen am 18 Juli 2023 Release Notes Abgerufen am 18 Oktober 2023 englisch Release Notes Abgerufen am 18 Oktober 2023 englisch Release Notes Abgerufen am 18 Oktober 2023 englisch Release Notes Abgerufen am 19 Juli 2023 englisch shibboleth atlassian net abgerufen am 18 Juli 2023 shibboleth atlassian net abgerufen am 18 Juli 2023 Konfiguration von CAS im Shibboleth Identity Provider Konfiguration von OpenID Connect im Shibboleth Identity Provider Website des Shibboleth Consortiums Informationen zur Mitgliedschaft im Shibboleth Consortiums Mitgliederliste des Shibboleth Consortiums Lizenzhinweis in der Online Dokumentation DFN Vortragsfolien von Juni 2023 pdf siehe S 4 Dokumentation der Plugins fur den Shibboleth IdP bwIDM Foderiertes Identitatsmanagement der baden wurttembergischen Hochschulen idm nrw Machbarkeitsstudie foderiertes Identity Management in Nordrhein Westfalen Abgerufen von https de wikipedia org w index php title Shibboleth amp oldid 238278976