DFN-AAI - Authentifizierungs- und Autorisierungs-Infrastruktur im Deutschen Forschungsnetz

Für die Nutzung bestimmter Webdienste muss man sich authentifizieren (anmelden). Um dies sicher und für Benutzer gleichzeitig komfortabel zu gestalten, ist eine Infrastruktur nötig, die in diesem Artikel beschrieben ist.

Das Web-Trust-Center der TU Chemnitz ist Mitglied der DFN-AAI-Föderation. Eine Authentifizierungs- und Autorisierungs-Infrastruktur (AAI) bezeichnet einen Service und ein Verfahren, Angehörigen unterschiedlicher Institutionen Zugriff auf geschützte Informationsangebote zu ermöglichen, die verteilt auf unterschiedlichen Webservern liegen. Mittels AAI wird geprüft, ob eine Person berechtigt ist, auf eine Ressource zuzugreifen, wobei die Prüfung nicht aufgrund eines zentralen Registers erfolgt, sondern bei der jeweiligen Heimatorganisation der Person, die den Zugriff auf die Ressource wünscht.

Alle Teilnehmer der DFN-AAI bekennen sich zur Einhaltung der geltenden Datenschutzrichtlinien.

Das bedeutet für Sie als Nutzer/in der TU Chemnitz:

  • Sie können zukünftig Web-Angebote anderer wissenschaftlicher Einrichtungen (Hochschulen, Bibliotheken, Informationszentren) nutzen, ohne sich dort neu anmelden und zusätzliche Logins und Passwörter merken zu müssen.
  • Die Überprüfung Ihres Logins und Passwortes erfolgt immer am Web-Trust-Center der TU Chemnitz.
  • Als Webautor können Sie Ihre geschützten WWW-Angebote auch anderen Benutzern im DFN anbieten, ohne sich um die Nutzerverwaltung kümmern zu müssen.

Hinweise zum Datenschutz

Beim Zugriff auf externe Web-Anwendungen, die über DFN-AAI geschützt sind, werden vom Web-Trust-Center der TU Chemnitz folgende persönliche Daten weitergegeben:

  • Vorname, Nachname
  • Loginkennzeichen
  • E-Mail-Adresse
  • Zugehörigkeit (Studierender, Mitarbeiter)

Vor der Weitergabe der Daten können Sie entscheiden:

  • Ja, Daten nur dieses mal weitergeben.
    • Daten werden übergeben, die Web-Anwendung ist nutzbar.
    • Sie werden beim nächsten mal wieder gefragt.
  • Nein, meine Daten dieses mal nicht weitergeben.
    • Daten werden nicht übergeben, die Anwendung ist nicht benutzbar.
    • Sie werden beim nächsten mal wieder gefragt.
  • Ja, meine Daten immer an Partner der TU Chemnitz weitergeben.
    • Ihre o.g. Daten werden an alle Mitglieder der DFN-AAI weitergegeben,
    • Alle Web-Anwendungen sind ohne erneute Nachfrage benutzbar (falls vom Anbieter erlaubt).
    • Sie können diese Entscheidung über eine Einstellung in MyURZ widerrufen.

Stichwort "Shibboleth"

Shibboleth ist ein vom Internet2/MACE entwickeltes Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices. Das Konzept von Shibboleth sieht vor, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung authentisieren muss, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können (englisch "Single Sign-On"). Shibboleth basiert auf einer Erweiterung des Standards SAML.

Die Funktionsweise von Shibboleth lässt sich am einfachsten anhand des folgenden Szenarios erklären:

Authentifizierung (Wer bist Du?)

Ein Benutzer will auf eine geschützte Ressource zugreifen. Der Anbieter nimmt die Anfrage entgegen und prüft, ob der Benutzer bereits authentifiziert ist. Wenn nicht, wird er zu einem Lokalisierungsdienst weitergeleitet. Der Lokalisierungsdienst bietet eine Auswahl von Einrichtungen an. Der Benutzer wählt seine Heimateinrichtung aus und wird zu dieser weitergeleitet. Die Heimateinrichtung prüft, ob der Benutzer bereits authentifiziert ist. Ist dies nicht der Fall, wird der Benutzer aufgefordert, dies zu tun (zum Beispiel mit Benutzerkennung und Passwort oder Chipkarte). Die Heimateinrichtung stellt einen "digitalen Ausweis" aus und leitet den Benutzer zum Anbieter zurück. Der Anbieter prüft den Inhalt des digitalen Ausweises.

Autorisierung (Was darfst Du?)

Benötigt der Anbieter weitere Informationen, um zu entscheiden, ob der Benutzer auf die gewünschte Ressource zugreifen darf (zum Beispiel die Fakultätszugehörigkeit bei einer Universität), so fragt er bei der Heimateinrichtung des Benutzers nach. Der Anbieter prüft über das eigene System, ob der Benutzer auf die Ressource zugreifen darf, und gestattet den Zugriff oder lehnt ihn ab.

Quelle: Wikipedia

Shibboleth an der TU Chemnitz

Die TU Chemnitz war eine der ersten Einrichtungen, welche Shibboleth eingeführt hat. Bereits im Jahr 2005 wurden die ersten Webserver im URZ "shibbolisiert" und der Dienst "Web-Trust-Center" bereitgestellt. Kurz darauf - im Jahr 2006 - wurde in Sachsen die erste Shibboleth-Föderation mit dem Namen SAXIS gegründet. Diese ermöglicht eine hochschulweite Authentifizierung am Bildungsportal Sachsen.

Shibboleth erwies sich an der TU Chemnitz als sehr skalierbares und tragfähiges Konzept. Bis heute wurden alte Authentifizierungsverfahren an allen Webservern der TU Chemnitz abgelöst und flächendeckend Shibboleth eingeführt. Zur Zeit sind 70 so genannte Identity-Provider (Webserver) in der TU Chemnitz mit Shibboleth ausgerüstet, an denen unsere Benutzer geschützte Dienste nutzen können, ohne sich jedes Mal neu anmelden zu müssen.

Weitere Informationen: http://www.tu-chemnitz.de/urz/www/wtc.html

Ronald Schmidt, Mai 2008