Shibboleth - Loginvorgang

Dieser Artikel zeigt, wie die Anmeldung über Shibboleth in der Praxis abläuft.

Wenn der Dienstanbieter die Anmeldung über Shibboleth unterstützt und mit der Universität Greifswald zusammenarbeitet, gibt es auf der entsprechenden Webseite einen Link für das Shibboleth-Login, oft auch als Institutional Login bezeichnet. Hier muss man als Föderation die DFN-AAI und anschließend die Heimateinrichtung Universität Greifswald auswählen. Daraufhin wird man direkt auf die Login-Seite der Universität weitergeleitet.

Im Shibboleth-Loginformular wird oben wird der aktuelle Service-Provider angezeigt, bei dem sich der Nutzer anmelden möchte.

Die Zugangsdaten werden über das Formular direkt auf einem Server der Universität Greifswald eingegeben, was man anhand der URL https://idp.uni-greifswald.de/ erkennen kann. Somit kommt der externe Diensteanbieter nicht mit Ihren Zugangsdaten in Kontakt.

Hinweis:

Ein Direktaufruf der Loginseite funktioniert nicht, man muss immer von einem Dienstanbieter auf diese Seite weitergeleitet werden!

Das Ausloggen erfolgt momentan nur durch ein Schließen des Browsers oder durch das Löschen der Browsercookies.

Ihre ID-Card

Bei jedem auf Shibboleth basierenden Loginvorgang wird geprüft, ob Sie der Übermittlung Ihrer Daten zugestimmt haben. Das bedeutet, dass Sie eine Liste aller Attribute, die an den aktuellen Diensteanbieter übertragen werden, angezeigt bekommen. Dies ist die sogenannte ID-Card, wie sie in der folgenden Abbildung dargestellt ist:

In diesem Beispiel sollen drei Attribute mit den jeweiligen Werten an den Dienst gesendet werden. Bei jeder Änderung der Attributliste für den aktuellen Dienst wird eine erneute Zustimmung eingeholt.

Der Widerruf dieser Einverständniserklärung für den aktuellen Dienst ist bei jedem Login durch Anhaken der Option Attributeinverständnis für diesen Dienst zurücknehmen möglich.

Mit einem Klick auf Bestätigen werden die Daten letztendlich an den Dienstanbieter gesendet.

Hinweis:

Die Verarbeitung von personenbezogenen Daten für uni-interne Dienste ist durch die Datenschutzsatzung der Universität geregelt. Daher wird für diese Dienste generell keine ID-Card angezeigt.

Übermittelte Attribute

  • Jeder Dienstanbieter erhält pauschal das Attribut eduPersonEntitlement mit dem Wert urn:mace:dir:entitlement:common-lib-terms. Damit wird dem Dienstanbieter lediglich übermittelt, dass der Benutzer einen gültigen Account an der Universität Greifswald hat und sich damit korrekt authentifiziert hat.
  • Jeder Dienstanbieter erhält pauschal die Attribute eduPersonAffiliation und eduPersonScopedAffiliation, welche die Werte affiliate, member, staff und student bzw. affiliate@uni-greifswald.de, member@uni-greifswald.de, staff@uni-greifswald.de und student@uni-greifswald.de beinhalten können, sodass bei der Autorisation wenn erforderlich noch nach Gast, Mitglied, Mitarbeiter oder Student unterschieden werden kann.
  • Diese Attribute (eduPersonEntitlement, eduPersonAffiliation, eduPersonScopedAffiliation) erscheinen daher nicht auf der ID-Card.
  • Für uni-interne Dienste werden nach entsprechendem Antrag nur "anonyme" Autorisationskriterien wie z.B. Einrichtung oder Wissenschaftler/Nichtwissenschaftler zugelassen.
  • Bei personenbezogenen Attributen, wie z.B. Name oder E-Mail-Adresse, muss der jeweilige Dienst ein gesondertes Beteiligungsverfahren durchlaufen.