Funktionalität
Die Anmeldung durch Shibboleth SSO besteht in der Regel aus drei Schritten:
- Authentifizierung des Nutzers Bei der Anmeldung mit "Username und Password" wird die Authentifizierung durchgeführt. Die geschützten Anwendungen bekommen dann vom Identity-Provider eine Zusicherung, dass die Authentifizierung erfolgreich war.
- Generierung eines Browser-Token (Cookies)
Der Webbrowser des Nutzers erhält einen Token, der erlaubt, mit anderen Shibboleth-Anwendungen ohne erneute Authentifizierung zu arbeiten. Der Token ist für 60 Minuten gültig. Wenn der Browser geschlossen wird, endet auch die Gültigkeit des Tokens. Vorsicht beim Logout: wenn Sie an öffentlich zugänglichen Rechnern arbeiten, schließen Sie bitte am Ende den Browser, um Missbrauch zu verhindern.
- Authorisierung des Nutzers
Nach der erfolgreichen Authentifizierung kann die Anwendung beim Identity-Provider die persönlichen Daten des Nutzers (z.B. Name, Vorname , E-Mail) verlangen. Ohne diese Daten können solche Dienste, wo man sich via Shibboleth authentifiziert, nicht genutzt werden. Was für Informationen übermittelt werden wird dem Nutzer in diesem Schritt angezeigt und um die Zustimmung gebeten. Hat man zugestimmt und möchte die Entscheidung rückgängig machen, muss beim nächsten Login die Option "Attributfreigabe für diesen Dienst widerrufen" ausgewählt werden. Folgende Informationen werden an die Anwendung standardmäßig übertragen und für die Anwendung bleibt der Nutzer nach der Übetragung der unten aufgeführten Daten zunächst anonym:
- eine pseudonyme Kennung pro Anwendung (sogenannte transient oder persistent Id),
- eine Zugehörigkeit (z. B. member, staff, student, affiliate),
- falls zutrifft eine Berechtigung zum Lesen von elektronischen Medien bei teilnehmenden Verlagen,
- Informationen zum Vertrauensprofil eines Nutzers (mehr dazu hier) sowie
- der Domänenname der OVGU ("uni-magdeburg.de").
Je nach Dienst können folgende Daten nach Zustimmung des Nutzers übertragen werden:
| Name des Attributes |
Beispielwerte |
| Anzeigename |
Max Muster |
| Nachname |
Muster |
| Vorname |
Max |
| Mitglied in Gruppen |
stud, urz |
| Hauptgruppe |
urz |
| Berechtigung |
urn:mace:dir:entitlement:common-lib-terms
urn:mace:dir:entitlement:sso-granted
urn:mace:tafmobile.de:entitlement:dticket:timeframe:20241001-20250331
|
| Rolle |
Mitarbeiter, Student |
| URZ Dienste |
bibo, druck, pool |
| Zugehörigkeit |
member,student |
| Vertrauensprofil |
https://refeds.org/assurance
https://refeds.org/assurance/IAP/low
https://refeds.org/assurance/ATP/ePA-1m
https://refeds.org/assurance/ID/unique
https://refeds.org/assurance/ATP/ePA-1d |
| Persönliche ID |
musi16ka@uni-magdeburg.de |
| Zugehörigkeit |
student@uni-magdeburg.de
member@uni-magdeburg.de |
| Organisationsname |
Otto-von-Guericke-Universitaet Magdeburg |
| Heimatorganisation |
uni-magdeburg.de |
| Benutzer-ID |
musi16ka |
| E-Mail |
max.muster@st.ovgu.de |
| PairwiseID |
KYORGVMQ2UF4ILYWTYEDNUVE6CRMWXOB@uni-magdeburg.de |
| persistent ID |
KYORGVMQ2UF4ILYWTYEDNUVE6CRMWXOB
|
| Geschlecht |
1 |
| Geburtsdatum |
1970010100Z |
| Persönlicher eindeutiger Code |
urn:schac:personalUniqueCode:int:esi:uni-magdeburg.de:1661661 |
| Matrikelnummer |
1661661 |
| Eindeutige ID |
e75c666f4fce6439ac8e8b865f59bef5f6173eb292749f1b6d5c7fc283139c20@uni-magdeburg.de |
| Nazionalität |
D |
Bis auf das Attribute "persistent ID" bekommt der Nutzer die Auflistung zu übetragenden Informationen angezeigt und erst nach der Zustimmung werden die Attribute zum Dienst verschlüsselt übermittelt.