Single Sign-On mit OpenID
Eine häufige Anforderung der Umfrageteilnehmer war die Gelegenheit auf die große Anzahl von Internetdiensten der Erlangen-Nürnberg Universität mit SSO (Single Sign-On) zugreifen zu können.
Es gibt viele Verfügbare Lösungen und Produkte die eine SSO zu Verfügung stellen. OpenID ist eine offene, dezentralisierte und freie Benutzerzentrierte Lösung die sich mit SSO sehr gut anpasst. Und was ist mit Shibboleth? Das Identity-Management mit Shibboleth ist vergleichbar mit OpenID. Allerdings SAML-Standard basierte Protokolle, die bei höherer Komplexität mehr Funktionen bieten, sind nicht einfach zu verwalten. OpenID bietet eine einfache und kostengünstige SSO-Umsetzung.
Im Rahmen der Internetdienste der Universität die SSO-Umsetzung wäre nicht möglich ohne eine Verbindung zum LDAP aufzubauen. Infolgedessen OpenID muss unbedingt mittels API an den LDAP-Server eine Bindung durchführen.
Welche Vorteile bringt eine SSO-Umsetzung mit OpenID und LDAP?
– Das Benutzer-Passwort ist niemals an den Internetdienst (OpenID-Konsument) gesendet.
– Die Authentifizierung erfolgt anhand von LDAP-System.
– Im Falle eines Studierenden oder Mitarbeiters die Universität verlässt, der Zugang zum Interdienst wird automatisch beendet werden.
– Mit der Nutzung von Open-Source, ist für den Internetdienst einen OpenID-API sehr schnell zu implementieren.
Und die Nachteile? Das Sicherheitsrisiko durch Zentralisierung ist der wichtigste Nachteil, aber ich stehe der Lösung im Grunde sehr positiv gegenüber.
Trend? Siehe: Technology Leaders Join OpenID Foundation to Promote Open Identity Management on the Web