Zentraler Anmeldedienst für Web-Anwendungen (mein campus, Stud-On und Uniportal)

Zentraler Anmeldedienst für Web-Anwendungen (mein campus, Stud-On und Uniportal)
Single Sign-On-Dienst des Regionalen Rechenzentrums Erlangen (RRZE) erleichtert ab Mittwoch, 14.10.2009, den Zugang zu den passwortgeschützten Online-Angeboten der Universität

Stud-On, mein campus, Uniportal – bisher mussten sich die Angehörigen der Friedrich-Alexander Universität für jeden dieser Internet-Angebote einzeln anmelden. Dies war nicht nur für die Anwender unpraktisch und unbefriedigend, sondern verursachte auch überflüssige Kosten und Sicherheitsrisiken. Das soll nun anders werden: mit einem zentralen Anmeldedienst, entwickelt vom Team der Stabsstelle „Projekte & Prozesse“ im Rahmen der Einführung des Identity Managements (IdM) des Regionalen Rechenzentrums Erlangen (RRZE) wird der Umgang mit den Online-Angeboten der Universität künftig stark vereinfacht.

Single Sign-On (übersetzt etwa „Einmalanmeldung“), kurz SSO, heißt die Lösung. Single Sign-On ermöglicht, technisch ausgedrückt, eine zentrale Authentifizierung von web-basierten Anwendungen. Konkret heißt das, dass künftig Studierende und Beschäftigte der Universität nach einer einzigen Anmeldung auf alle angeschlossenen, passwortgeschützen Online-Angebote der Universität, für die sie berechtigt sind, zugreifen können.

Das Prinzip ist einfach: Der Benutzer loggt sich zu Beginn seines Arbeitstages bei dem zentralen Anmeldedienst einmalig ein. Hat er dies getan, kann er die angebundenen Online-Dienste den ganzen Tag nutzen, ohne sich dort noch einmal anmelden zu müssen. Die Authentifizerung gilt aus Sicherheitsgründen acht Stunden, danach wird der Benutzer automatisch ausgeloggt und muss sich erneut authentifizieren. Auch gilt die zentrale Anmeldung nur für den aktuellen Arbeitsplatz des Benutzers. Wechselt er den Platz (oder schließt er den Browser), wird diese hinfällig und muss wiederholt werden.

Bisher sind folgende universitäre Online-Dienste an den zentralen Anmeldedienst angebunden:

das Uniportal Erlangen-Nürnberg (das interaktive Kommunikationsportal der Universität http://www.portal.uni-erlangen.de),
Stud-On (die virtuelle Lernumgebung der Universität http://www.studon.uni-erlangen.de)
sowie das Portal für alle studentischen, verwaltungstechnischen Belange mein campus (http://www.campus.uni-erlangen.de).

Weitere Dienste sollen zeitnah folgen (z.B. der Blog- und Wiki-Dienst der Universität).

Um den zentralen Anmeldedienst nutzen zu können, hat der Benutzer zwei Zugangswege: Entweder er steuert das Single Sign-On über die passwortgeschützten Online-Angebote der Universität an oder er nutzt den Dienst direkt über die zugehörige Webseite (http://www.sso.uni-erlangen.de). Will sich ein Benutzer beispielsweise über mein campus zentral anmelden, so ruft er wie gewohnt http://www.campus.uni-erlangen.de auf. Von dort leitet der Link „Anmeldung über Single Sign-On“ auf die Seite des zentralen Anmeldedienstes, um die Benutzerdaten abzufragen. Nach erfolgreicher Anmeldung wird der Benutzer automatisch zur Ausgangsseite, in diesem Fall zu mein campus, zurückgeleitet. Sollte bereits eine aktive SSO-Sitzung bestehen, wird die gewünschte Ausgangsseite sofort und ohne den Umweg via Single Sign-On angesteuert.

Analog zum Single Sign-On bietet der Dienst auch eine zentrale Abmeldemöglichkeit, das sogenannte Single Logout, kurz SLO. Wieder kann sich der Benutzer entweder über die SSO-Webseite oder über den entsprechenden Link auf den Webseiten von mein campus, Uniportal und Stud-On zentral abmelden. Einmal an einer der genannten Anwendungen ausgeloggt, ist er automatisch auch an allen anderen Anwendungen, die Single Logout unterstützen, abgemeldet.

Nach wie vor können sich die Benutzer bei den einzelnen Portalen wie gewohnt auch lokal ein- und wieder ausloggen, genießen dann allerdings nicht die Vorteile des Single Sign-On Systems: Neben Arbeitserleichterung und Zeitersparnis werden bei einer einmaligen Anmeldung vor allem die Sicherheitsrisiken drastisch verringert, da Benutzerkonto und Passwort nur einmal an eine besonders gesicherte Authentifizierungsinstanz übertragen werden müssen.

Voraussetzung für die Nutzung des zentralen Anmeldedienstes ist – wie bei allen passwortgeschützen Online-Diensten der Universität – die persönliche universitäre Benutzerkennung mit zugehörigem Passwort. Falls die Benutzerkennung noch nicht aktiviert ist, kann dies auf der Website des Identity Management (IdM) Self Service unter https://www.idm.uni-erlangen.de nachgeholt werden.

Das Single Sign-On ist für alle Benutzer standardmäßig freigeschaltet. Dies kann nach dem Login auf https://www.idm.uni-erlangen.de unter dem Menüpunkt „Dienstleistungen“ überprüft werden

Technische Umsetzung

Das zentrale Anmeldesystem der Universität besteht aus zwei miteinander kommunizierenden Komponenten, nämlich dem Identity Provider (IdP), wo die Anmeldung (Authentifizierung) stattfindet, und dem Service Provider (SP), wo nach der Authentifizierung die einzelnen Dienste genutzt werden können.

Der Identity Provider ist also für die Authentifizierung und die Bereitstellung von für die Diensterbringung erforderlichen Attributen verantwortlich. Um diese Aufgabe erfüllen zu können, ist er an die vorhandene Benutzerverwaltung der Universität, dem Identity Management (IdM) System, angeschlossen. Der Datenaustausch erfolgt über einen LDAP-Server, der als Authentifizierungs- und Attributquelle für den Identity Provider dient. Dieser LDAP-Server enthält die vom Service Provider benötigten Attribute. Der Zugriff auf den Identity Provider ist nur über den verschlüsselten HTTPS-Port möglich.

Die vom Identity Provider weitergegebenen Attribute werden für jeden Service Provider einzeln festgelegt. Vorbedingung für eine Anbindung einzelner Dienste an das System ist, dass eine aktuelle und vom Datenschutzbeauftragten der Universität freigegebene Verfahrensbeschreibung vorliegt. Die Anbindung erfolgt unter Beachtung des Gebots der Datensparsamkeit, d.h. es werden ausschließlich die Daten vom Identity Provider an den Service Provider übermittelt, die dieser zur Erbringung des Dienstes tatsächlich benötigt.

Der Service Provider hingegen ermöglicht den Zugriff auf die Webanwendungen. Auf jeden Server, auf dem eine Webanwendung liegt, die das Single Sign-On nutzen will, muss daher ein Service Provider installiert sein. Die Zugriffserlaubnis für einen Benutzer trifft der Service Provider aufgrund der vom Identity Provider erhaltenen Attribute.

Das zentrale Anmeldesystem der Universität wurde mit Hilfe von simpleSAMLphp (Open Source Anwendung in PHP für Single Sign-On), Shibboleth 2 (Open Source Referenzimplementierung für Single Sign-on) und OpenLDAP (Open Source Implementierung eines LDAP Servers) realisiert.

Wichtige Begriffe auf einen Blick:

Authentifizierung = Anmeldung mit einer eindeutigen Benutzerkennung und einem eindeutigen Passwort
Single Sign-On (SSO) = zentrale, einmalige Anmeldung oder auch Authentifizierung
Single Logout (SLO) = zentrale, einmalige Abmeldung
Identity Provider (IdP) = Dienst, der die zentrale Anmeldung umsetzt
Service Provider (SP) = Dienst, der die universitären Anwendungen zur Verfügung stellt

Kontakt

Frank Tröger
Stabsstelle „Projekte & Prozesse“
Regionales Rechenzentrum Erlangen (RRZE)
Martensstraße 1
91058 Erlangen
Hotline des RRZE: 09131-85-27037
sso-support@uni-erlangen.de
https://www.sso.uni-erlangen.de