Universitätsrechenzentrum
TU Chemnitz URZ Zeitung Ausgabe 4/2005

Web-Trust-Center: Single Sign On für Web-Anwendungen

Im Intranet der TU Chemnitz werden zahlreiche Web-Anwendungen betrieben. Diese Anwendungen müssen Nutzer authentifizieren und autorisieren. Darüber hinaus benötigen diese Web-Applikationen Informationen über die Nutzer (Attribute). Web-Trust-Center (WTC) ist die Bezeichnung eines neuen Dienstes, dessen Einführung gerade beginnt. Seine Integration in verschiedene Web-Anwendungen ist ein Schritt in Richtung höherer Sicherheit und mehr Komfort bei der Benutzung.

Wie funktioniert's?

Wenn Sie auf geschützte Web-Seiten der zentralen Web-Server zugreifen, werden Sie vielleicht schon bemerkt haben, dass Sie zunächst auf eine Anmelde-Seite umgelenkt werden (siehe Abbildung), auf der Sie ggf. auswählen können, zu welcher Einrichtung Sie gehören.

Als Angehöriger der TU Chemnitz können Sie einfach die Schaltfläche "Jetzt am Trust-Center der TU Chemnitz anmelden!" betätigen. In den meisten Fällen werden Sie dann von Ihrem Browser aufgefordert, Loginkennzeichen und Passwort einzugeben. Falls Sie bereits ein sogenanntes Kerberos Ticket Granting Ticket (TGT) besitzen und Ihr Web-Browser Kerberos unterstützt (das ist der Fall, wenn Sie mit mozilla unter Linux an URZ-verwalteten Maschinen arbeiten - z.B. in einem der zentralen Computerpools), dann entfällt diese Loginkennzeichen-/Passwort-Eingabe, weil das TGT bereits Ihre Identität bestätigt. In diesem Authentisierungsschritt stellt das Web Trust Center Ihnen (genauer: dem für Sie arbeitende Web-Browser) eine Bestätigung Ihrer Identität aus, die von Web-Anwendnungen akzeptiert wird, die an dem Verfahren teilnehmen.

Dieser Anmeldevorgang ist also nur noch erforderlich, wenn Sie mit einem neugestarteten Web-Browser eine der teilnehmenen Web-Anwendung benutzen. Schon bei der Benutzung einer zweiten Anwendnung mit demselben Browser entfällt der Anmeldevorgang (daher: Single Sign On). Damit wird deutlich, dass der Effekt umso größer ist, je mehr Web-Anwendungen auf dieses Verfahren umgestellt sind.

Darüber hinaus ist in das Verfahren noch die Übermittlung von sogenannten Attributen an die Web-Anwendung verbunden. Auf Basis dieser Attribute können Autoren von solchen Anwendungen z.B. Web-Formulare mit den perönlichen Daten des Benutzers vorausfüllen oder Autorisierungsentscheidungen treffen, z.B. Web-Seiten nur Studenten oder Mitarbeitern einer bestimmten Struktureinheit zugänglich machen.

Ein weiterer Vorteil des Web-Trust-Centers ist die Möglichkeit zum Zusammenschluss mit anderen Einrichtungen (z.B. andere Hochschulen) in so genannte Föderationen. Alle teilnehmenden Einrichtungen können Nutzer innerhalb dieses Zusammenschlusses authentifizieren.

Die E-Learning-Plattform "Bildungsportal Sachsen" wurde bereits an das Web-Trust-Center der TU Chemnitz angebunden. Somit ist es möglich, die Dienstleistungen des Portals ohne separate Registrierung und ohne zusätzliche Zugangspasswörter sofort zu nutzen. https://bps.tu-chemnitz.de

Was muss man als Nutzer beachten?

Das Verfahren benötigt Cookies. Sie müssen also Ihren Web-Browser so konfigurieren, dass er Cookies akzeptiert.

Die Einbindung in einzelne Web-Anwendungen erfolgt durch sogenannte Redirects. Damit diese möglichst transparent von Ihrem Browser ausgeführt werden können, ist Javascript-Unterstützung notwendig. Wenn Sie das nicht zulassen wollen, werden Sie das "Redirect" jeweils durch einen weiteren Klick veranlassen müssen.

Das Verfahren stützt sich auf Kerberos V5. Wenn Ihre Anmeldung fehlschlägt (Sie erhalten eine Meldung, dass Loginkennzeichen und Passwort nicht zusammenpassen), dann kann es sein, dass Sie zunächst Ihr Passwort ändern müssen, weil in der Kerberos-Datenbank noch die erforderlichen Schlüssel fehlen. Das trifft vor allem dann zu, wenn Sie Ihr Passwort lange Zeit nicht geändert haben - die betroffenen Nutzer wurden dazu bereits im Juli per E-Mail zur Passwortänderung aufgefordert.

Das Verfahren kennt in der aktuellen Version kein "Logout". Wenn Sie also den Anmeldevorgang durchgeführt haben, weil Sie eine teilnehmende Anwendung benutzen, dann vermittelt Ihr Web-Browser Ihre Identität transparent an alle anderen teilnehmenden Web-Anwendungen. Sie sollten daher niemals andere Personen mit Ihrem Browser arbeiten lassen und beim Verlassen Ihres Rechners immer eine Bildschirmsperre aktivieren.

Weitere Informationen

In den Hinweisen für HTML-Autoren - http://www.tu-chemnitz.de/urz/www/html-autoren.html finden Sie Angaben zur Einbindung des Web-Trust-Centers in Ihre Web-Anwendungen.