Das
Rechenzentrum

Login |
 
 

Der Shibboleth-Authentisierungs- und Autorisierungsdienst

Wozu brauche ich Shibboleth?

Shibboleth ist ein auf Föderationen basierendes Authentisierungs- und Autorisierungssystem, mit dessen Hilfe die Bibliothek und das Rechenzentrum der Universität Konstanz in Zusammenarbeit mit dem Deutschen Forschungsnetz (DFN) Ihnen einen kostenlosen Zugang zu verschiedenen nationalen und internationalen Diensten innerhalb der DFN-AAI-Föderationen ermöglicht. Einen Überblick über die Dienste, die in den Föderationen der DFN-AAI eingetragen sind, finden Sie hier.

Wie funktioniert Shibboleth?

Wenn Sie auf einen, mit Shibboleth geschützten Dienst innerhalb einer Föderation zugreifen wollen, leitet der Anbieter des Dienstes Ihre Anfrage über seinen Shibboleth-Service-Provider an den Shibboleth-Identity-Provider der Universität Konstanz weiter. Einige Betreiber von Service-Providern bieten auf ihren Seiten einen eigenen Lokalisierungsdienst zur Auswahl Ihrer Heimateinrichtung an, andere Betreiber von Service-Providern verwenden den Lokalisierungsdienst jeweiligen Föderation. In den dort angegebenen Listen finden Sie den Identity-Provider der Universität Konstanz. Nachdem Sie Ihren Identity-Provider ausgewählt haben, werden Sie aufgefordert, sich mit Ihrem E-Mail-Alias (Vorname.Nachname) und Ihrem E-Mailpasswort anzumelden. Der Identity-Provider prüft dann gegen das lokale Identity-Managementsystem, ob Sie ein Mitglied der Universität sind. Wenn das der Fall ist, werden Ihre  Autorisierungsdaten gelesen und verschlüsselt an den Service-Provider des von Ihnen anfänglich ausgewählten Dienstes gesendet. Der Betreiber des jeweiligen Service-Providers entscheidet dann bei Erhalt Ihrer Autorisierungsdaten, in welchem Umfang er Ihnen den Zugang zu seinem angebotenen Dienst ermöglichen will.

Welche Daten werden über mich versendet?

Der Betreiber des jeweiligen Shibboleth Service-Providers entscheidet bei Erhalt Ihrer Autorisierungsdaten, in welchem Umfang er Ihnen den Zugang zu seinen geschützten Inhalten ermöglicht. Dabei kann es innerhalb der DFN-AAI-Föderationen zu einer Vielzahl bilateraler Vereinbarungen zwischen einzelnen Service- und Identity Providern kommen. Der Identity Provider der Universität Konstanz ist derart konfiguriert, daß er sich i.A. an die Mindestanforderungen der DFN-AAI hält.

Seit einiger Zeit ist zu beobachten, dass Service-Provider der DFN-AAI-BASIC Föderation, welche im Wesentlichen von Hochschulen betrieben werden, immer mehr benutzerbezogenen Daten (z.B. Vorname, Nachname, E-Mail-Adresse, usw.) vom Identity Provider der Uni Konstanz einfordern. Daher haben wir den Identity Provider mit Zusatzsoftware "uApprove" ausgestattet, die Ihnen ermöglicht, Einblick in die zu versendenden Daten zu bekommen und dem Versenden ausdrücklich zuzustimmen. Nach einer erfolgreichen anmeldung werden Sie gebeten, dem Versenden ihrer Daten pro Service-Provider zuzustimmen. Wenn sie nicht einverstanden sind, haben Sie die Möglichkeit die Sitzung zu beenden, indem Sie eine andere Seite aufrufen oder Ihren Browser schliessen. Damit Sie nicht jedesmal zustimmen müssen, wenn Sie auf das Angebot eines Service-Providers zugreifen wollen, werden Ihre Zustimmungen bei uns gespeichert. Natürlich haben Sie die Möglichkeit, Ihre Zustimmung für das Versenden Ihrer Daten zu widerrufen. Die Zustimmung, die Sie zur Verwendung des ausgewählten Service-Providers bereits gegeben haben, wird nach erfolgreicher Anmeldung gelöscht.

Wie verhalte ich mich im Fehlerfall?

Der Shibboleth-Authentisierungs- und Autorisierungsdienst und das Identity-Managementsystem der Universität Konstanz arbeiten seit November 2007 verlässlich zusammen. Dennoch kann es zu verschiedenen Fehlern während oder nach Ihrer Anmeldung kommen:

  • Probleme bei Ihrer Anmeldung am Authentisierungs- und Autorisierungsdienst
  • Probleme in der Kommunikation zwischen Service- und Identity-Provider.
  • Probleme beim Zugriff auf geschützte Inhalte des von Ihnen ausgewählten Recherchedienstes.

In jedem oben genannten Fehlerfall können Sie sich an die Beratung des Rechenzentrums wenden.  Um den aufgetretenen Fehler schnell erkennen und beheben zu können, brauchen wir von Ihnen die folgenden Angaben:

  • Ihren E-Mailalias (Vorname.Nachname).
  • Den Namen oder die Internetadresse (URL) des von Ihnen ausgewählten Recherchedienstes.
  • Den Inhalt der Fehlermeldung und/oder eine kurze Beschreibung, wie es zu dem Fehler kam.

Bei Wartungsarbeiten an den betreffenden Systemen, welche regelmäßig am ersten Donnerstag eines Monats stattfinden, werden Sie rechtzeitig über den News-Blog auf den Webseiten des Rechenzentrums informiert.

Hinweis zur Nutzung des Dienstes von öffentlichen Computerarbeitsplätzen

Wenn Sie von einem öffentlichen Computerarbeitsplatz auf die angebotenen Recherchedienste zugreifen, vergessen Sie bitte nicht, den Verlauf (History) Ihres Browsers, die gespeicherten Cookies im Cache Ihres Browsers oder den gesamtem Cache-Speicher Ihres Browsers zu löschen, damit der nächste Benutzer Ihre persönlichen Daten nicht lesen kann. Dazu schalten Sie den Browser nach der Benutzung am besten aus.