Shibboleth

Shibboleth ist ein vom Internet2/MACE entwickeltes Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices. Das Konzept von Shibboleth sieht vor, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung authentisieren muss, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können (englisch Single Sign-on). Shibboleth basiert auf einer Erweiterung des Standards SAML.

Logo des Projekts

Etymologie

Der Projektname stammt vom hebräischen Wort Schibboleth (hebr. שבולת) und bedeutet wörtlich „Strömung“, „Strom“ oder „Flut“. Im jüdischen Tanach (dem christlichen Alten Testament) im Buch der Richter 12,5–6 wird geschildert, wie ein Grenzposten an einer Furt alle Passanten auffordert, dieses Wort auszusprechen. Aufgrund der unterschiedlichen Aussprache diesseits und jenseits der Grenze wird zwischen Freund und Feind unterschieden. Deshalb wird das Wort heute in der Bedeutung von „Kennwort“ oder „Codewort“ verwendet. Vgl. in der Bibel Buch Richter 12,5f. wonach mit der falschen Aussprache dieses Wortes die Männer von Gilead die fliehenden Efraimiter enttarnten.

Komponenten

Die Software besteht aus drei Teilen:

Identity-Provider: befindet sich bei der Heimateinrichtung
Service-Provider: befindet sich beim Anbieter
Lokalisierungsdienst oder Discoveryservice (früher WAYF Where are you from?): kann optional eingesetzt werden, um die Heimateinrichtung des Benutzers zu lokalisieren.

Die Komponenten können unabhängig voneinander installiert werden. Damit Shibboleth funktionieren kann, werden mindestens ein Identity-Provider und ein Service-Provider benötigt. Das Release 2 des Shibboleth Identity-Provider wurde am 17. März 2008 veröffentlicht, seit dem 25. Februar 2015 ist Version 3 verfügbar.

Funktionsweise

Die Funktionsweise von Shibboleth lässt sich am einfachsten anhand des folgenden Szenarios erklären:

Authentifizierung (Wer bist du?)

Ein Benutzer will auf eine geschützte Ressource zugreifen. Der Anbieter nimmt die Anfrage entgegen und prüft, ob der Benutzer bereits authentisiert ist. Wenn nicht, wird er zu einem Lokalisierungsdienst weitergeleitet. Der Lokalisierungsdienst bietet eine Auswahl von Einrichtungen an. Der Benutzer wählt seine Heimateinrichtung aus und wird zu dieser weitergeleitet. Die Heimateinrichtung prüft, ob der Benutzer bereits authentifiziert ist. Ist dies nicht der Fall, wird der Benutzer aufgefordert, dies zu tun (zum Beispiel mit Benutzerkennung und Passwort oder Chipkarte). Die Heimateinrichtung stellt einen "digitalen Ausweis" aus und leitet den Benutzer zum Anbieter zurück. Der Anbieter prüft den Inhalt des digitalen Ausweises.

Autorisierung (Was darfst du?)

Benötigt der Anbieter weitere Informationen, um zu entscheiden, ob der Benutzer auf die gewünschte Ressource zugreifen darf (zum Beispiel die Fakultätszugehörigkeit bei einer Universität), so fragt er bei der Heimateinrichtung des Benutzers nach. Der Anbieter prüft über das eigene System, ob der Benutzer auf die Ressource zugreifen darf, und gestattet den Zugriff oder lehnt ihn ab.

Einsatz

Shibboleth findet vor allem im Bereich Wissenschaft und Lehre Anwendung und kann bilateral (ein Anbieter, eine Einrichtung), in einem größeren Umfeld wie in Baden-Württemberg (bwIDM[1]), in Sachsen (SaxID)[2] und in Nordrhein-Westfalen (idm.nrw[3]) oder flächendeckend für ein ganzes Land eingesetzt werden. Ab einer gewissen Größe übernimmt eine sogenannte Föderation (engl. federation) die Organisation und technische Unterstützung. Eine solche Föderation ist in Deutschland die DFN-AAI, die vom Deutschen Forschungsnetz (DFN) in Zusammenarbeit mit der Albert-Ludwigs-Universität Freiburg gegründet wurde. Andere Föderationen sind beispielsweise SWITCHaai (Schweiz), ACOnet Identity Federation (Österreich), DK-AAI (Dänemark), HAKA (Finnland), CRU (Frankreich) und UKFederation (Großbritannien). Unter dem Markennamen eduGAIN betreibt GÉANT zudem einen Zusammenschluss der nationalen Föderationen zu einer sogenannten Interföderation.

Das Logo von Shibboleth ist ein Greif. Die als Markenname geschützte hebräische Bezeichnung Shibboleth hat ihren Ursprung im Alten Testament (siehe zur Etymologie von Schibboleth).

Weblinks

Offizielle Website
Konzeptuelle und technische Erklärung in drei Schwierigkeitsstufen, Online-Demo der SWITCH-AAI.
Projekt verteilte Authentifizierung, Autorisierung und Rechteverwaltung (AAR) an der Albert-Ludwigs Universität Freiburg
Deutsche Föderation DFN-AAI
ACOnet Identity Federation
SWITCHaai
Vollständige Liste der Föderationen (Research and Education)

Einzelnachweise

bwIDM – Föderiertes Identitätsmanagement der baden-württembergischen Hochschulen
Entwicklung eines föderierten Identitätsmanagementsystems zur verteilten Nutzung von IT-Diensten in Sachsen. In: forschungsinfo.tu-dresden.de. Abgerufen am 19. Dezember 2015.
idm.nrw - Machbarkeitsstudie föderiertes Identity Management in Nordrhein-Westfalen

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[1] wIDM – Föderiertes Identitätsmanagement der baden-württembergischen Hochschulen

[2] Entwicklung eines föderierten Identitätsmanagementsystems zur verteilten Nutzung von IT-Diensten in Sachsen. In: forschungsinfo.tu-dresden.de. Abgerufen am 19. Dezember 2015.

[3] .nrw - Machbarkeitsstudie föderiertes Identity Management in Nordrhein-Westfalen