Allgemeines

Der Shibboleth Identity Provider ermöglich es, KIT-Benutzer gegenüber Institutionen außerhalb und innerhalb des KIT zu authentifizieren, ohne sensible Daten an diese Institutionen übertragen zu müssen. Dabei wird der Benutzer von einem Serviceprovider zu dem Identity Provider weitergeleitet und kann sich dort authentifizieren. Bei erfolgreicher Authentifizierung wird der Benutzer wieder zu dem Serviceprovider zurückgeitet und diesem wird mitgeteilt, dass die Authentifizierung erfolgreich war.

Zusätzlich ist es möglich, dem Serviceprovider weitere Attribute des Benutzers zu übermitteln. Diese übermittelten Attribute werden in den folgenden Dienstvarianten aufgeführt.

Bedeutung der Attribute

Die meisten der Attribute, wie z.B. Vorname, Nachname und KIT-Login sind selbsterklärend.

• transientId: Eine transiente Id dient der Reauthentifizierung einer Session bei verschiedenen Serviceprovider. Diese wird jedesmal neu erzeugt, wenn die Session beim Identity Provider nach 30 Minuten inaktivität abläuft.


• persistentId: Eine persistente Id wird für ein bestimmten Serviceprovider erzeugt, abgespeichert und jedesmal wieder übermittelt, wenn der Benutzer sich bei diesem Serviceprovider authentifiziert. Dadurch ist es möglich einen Nutzer wiederzuerkennen ohne zusätzliche Daten zu kennen. Dieses Attribut kann nicht zusammen mit einer transientId übermittelt werden


• affiliation: In der Affiliation wird die Position im KIT übermittelt. Jedes Mitglied besitzt dabei den Affiliation "member". Studenten besitzen zusätzlich die Affiliation "student" und Mitarbeiter "employee". Viele Service Provider entscheiden anhand dieses Attributs über Zugangsberechtigungen.


• entitlement: Ein Entitlement ist ein Lizenzstatus der Bibliotheken. So wird in der Regel der Wert "common-lib-terms" übermittelt.

Wann werden Attribute vergeben

Die übermittelten Attribute werden vom Identitätsmanagementsystem (IDM) an Shibboleth übermittelt. Dabei werden die Daten, bis auf den KIT-Login und die E-Mail-Adresse, dem SCC von der Verwaltung geliefert. Änderungen an den Daten kann das SCC nicht vornehmen. Dabei ist zu beachten, dass die Attribute affiliation und entitlement bei Mitarbeitern vom Vertragsstatus abhängen. So ist es möglich, dass das KIT-Konto noch mit Login funktioniert, das Attribute "employee" wird aber nicht mehr gesetzt, wenn der Arbeitsvertrag ausgelaufen ist.

DFN AAI Föderation

Die DFN AAI Föderation ist ein Verbund von Identity Providern der Hochschulen und teilnehmenden Serviceprovidern. Die Föderation erlaubt standardmäßigen Zugriff der Teilnehmer auf die Authentifizierungsinfrastruktur der Hochschulen. Eine Liste der Teilnehmer befinden sich auf den Webseiten der DFN AAI: Teilnehmerliste

Übermittelte Attribute: transientId, affiliation, entitlement

ReDI Datenbankangebot

Das ReDI-Datenbankangebot für das Karlsruher Institut für Technologie KIT setzt sich aus den Konsortial-Datenbanken und den Datenbanken der Betriebsgemeinschaften und Subkonsortien, an denen das Karlsruher Institut für Technologie KIT teilnimmt, zusammen. Nutzer innerhalb des Campus Süd sind auf IP-Adressebene freigeschaltet. Nutzer von außerhalb können sich über Shibboleth authentifizieren. Der ReDI Serviceprovider ist Mitglied der DFN-AAI und bekommt die selben Attribute wie jedes Mitglied geliefert.

Übermittelte Attribute: transientId, affiliation, entitlement

AskNET Softwareshop

Asknet ist Mitglied der DFN AAI Föderation. Zusätzlich zu den Attributen der Föderation wird eine persistente ID an asknet übermittelt, die nur für den Serviceprovider AskNET generiert wird.

Übermittelte Attribute sind: Vorname, Nachname, E-Mail-Adresse, Bereich (Großforschungsbereich/Universität), Organisation, Organisationseinheit, Fachrichtung (bei Studenten)

Vorlesungsverwaltung der Fakultät Mathematik

Das Vorlesungsverwaltungssystem der Fakultät Mathematik.

Übermittelte Attribute: Matrikelnummer, Vorname, Nachname, E-Mail Adresse

KIM Campusmanagement

Authentifizierung für die CAS Campus Software im Rahmen von KIM-CM (Campusmanagement). Zur Idnetifizierung wird eine Guid verwendet, die auf ServiceProvider Seite mit einer Identität verknüpft ist.

Übermittelte Attribute: transientId, casGuid

Mathematik Arbeitsgruppe Numerik

Webserver Verzeichnisschutz für http://na.math.kit.edu/

Übermittelte Attribute: KIT-Login, affiliation, entitlement, transientId

Informationsdienste und elektronische Märkte

Übermittelte Attribute: KIT-Login, Matrikelnummer, Studienfachrichtung, Angestrebter Abschluss, Vorname, Nachname, E-Mail-Adresse, affiliation, entitlement, transientId

RWTH Aachen - Gigamove

Über den Gigamove Service der RWTH Aachen können unkompliziert grössere Dateien geshared werden. Die Nutzung ist über https://gigamove.rz.rwth-aachen.de möglich.

Übermittelte Attribute: KIT-Login, Vorname, Nachname, E-Mail-Adresse, transientId, affiliation, entitlement

DFN - Webconferencing

Webconferencing der DFN mit bequemen Zugang über Shibboleth der DFN-AAI: https://webconf.vc.dfn.de ("Anmeldung über DFN-AAI").

Übermittelte Attribute: Vorname, Nachname, E-Mail-Adresse, transientId, affiliation (nur employee, facutly und staff), entitlement (nur "https://www.vc.dfn.de/entitlement/webconferencing/meetinghosts")

Lösungseinzugszentrale - Institut für Programmstrukturen und Datenorganisation

Dienst für Studierende des Institut für Programmstrukturen und Datenorganisation (IPD) am KIT.

Übermittelte Attribute: KIT-Login, Matrikelnummer, Studienfachrichtung, Angestrebter Abschluss, Vorname, Nachname, E-Mail-Adresse, transientId, affiliation, entitlement

ILIAS

ILIAS Platform am KIT: https://ilias.studium.kit.edu/

Übermittelte Attribute: KIT-Login, Matrikelnummer, Vorname, Nachname, E-Mail-Adresse, transientId, affiliation, entitlement