Funktionalität
Die Anmeldung durch Shibboleth SSO besteht in der Regel aus drei Schritten:
- Authentifizierung des Nutzers
Bei der Anmeldung mit "Username und Password" wird die Authentifizierung durchgeführt. Die geschützten Anwendungen bekommen dann vom Identity-Provider eine Zusicherung, dass es sich um diesen Nutzer handelt. Dabei wird keine Information über den Nutzer mitgeliefert und für die Anwendung ist er anonym. - Generierung eines Browser-Token (Cookies)
Der Webbrowser des Nutzers erhält einen Token, der erlaubt, mit anderen Shibboleth-Anwendungen ohne erneute Authentifizierung zu arbeiten.
Der Token ist für eine bestimmte Zeit gültig. Wenn der Browser geschlossen wird, endet auch die Gültigkeit des Tokens. Shibboleth kann derzeit noch keine Single-Log-Out bieten.
Wenn Sie an öffentlich zugänglichen Rechnern arbeiten, schließen Sie bitte am Ende den Browser, um Missbrauch zu verhindern. - Autorisierung bei bestimmten Anwendungen
Nach der erfolgreichen Authentifizierung kann die Shibboleth-Anwendung beim Identity-Provider die Daten des Nutzers abfragen. Wir haben für jede Anwendung gelistet, was für Informationen übermittelt werden.
Zentraler SSO Dienst - Identity-Provider - kann nicht allein funktionieren. Es ist ein Dienst für Webanwendungen. Nur nach Abfrage aus diesen Anwendungen kann das System antworten und dem Nutzer den Zugang erlauben. Es darf niemals ein Lesezeichen direkt auf die Anmeldeseite angelegt werden. Auch die Benutzung der Funktion "Zurück" kann die Verbindung zwischen Webanwendung und Identity-Provider trennen. Fangen Sie immer von der gewünschten Webanwendung aus an.