• Shibboleth Identity Provider

  • Der Shibboleth Identity Provider bietet Authentifizierung und Autorisierung mit Single Sign On von Benutzern für teilnehmende Service Provider.

Allgemeines

Der Shibboleth Identity Provider ermöglich es, KIT-Benutzer gegenüber Institutionen außerhalb und innerhalb des KIT zu authentifizieren, ohne sensible Daten an diese Institutionen übertragen zu müssen. Dabei wird der Benutzer von einem Serviceprovider zu dem Identity Provider weitergeleitet und kann sich dort authentifizieren. Bei erfolgreicher Authentifizierung wird der Benutzer wieder zu dem Serviceprovider zurückgeitet und diesem wird mitgeteilt, dass die Authentifizierung erfolgreich war.
Zusätzlich ist es möglich, dem Serviceprovider weitere Attribute des Benutzers zu übermitteln. Diese übermittelten Attribute werden in den folgenden Dienstvarianten aufgeführt.

Bedeutung der Attribute

Die meisten der Attribute, wie z.B. Vorname, Nachname und KIT-Login sind selbsterklärend.

  • transientId: Eine transiente Id dient der Reauthentifizierung einer Session bei verschiedenen Serviceprovider. Diese wird jedesmal neu erzeugt, wenn die Session beim Identity Provider nach 30 Minuten inaktivität abläuft.
  • persistentId: Eine persistente Id wird für ein bestimmten Serviceprovider erzeugt, abgespeichert und jedesmal wieder übermittelt, wenn der Benutzer sich bei diesem Serviceprovider authentifiziert. Dadurch ist es möglich einen Nutzer wiederzuerkennen ohne zusätzliche Daten zu kennen. Dieses Attribut kann nicht zusammen mit einer transientId übermittelt werden
  • affiliation: In der Affiliation wird die Position im KIT übermittelt. Jedes Mitglied besitzt dabei den Affiliation "member". Studenten besitzen zusätzlich die Affiliation "student" und Mitarbeiter "employee". Viele Service Provider entscheiden anhand dieses Attributs über Zugangsberechtigungen.
  • entitlement: Ein Entitlement ist ein Lizenzstatus der Bibliotheken. So wird in der Regel der Wert "common-lib-terms" übermittelt.

 

Wann werden Attribute vergeben

Die übermittelten Attribute werden vom Identitätsmanagementsystem (IDM) an Shibboleth übermittelt. Dabei werden die Daten, bis auf den KIT-Login und die E-Mail-Adresse, dem SCC von der Verwaltung geliefert. Änderungen an den Daten kann das SCC nicht vornehmen. Dabei ist zu beachten, dass die Attribute affiliation und entitlement bei Mitarbeitern vom Vertragsstatus abhängen. So ist es möglich, dass das KIT-Konto noch mit Login funktioniert, das Attribute "employee" wird aber nicht mehr gesetzt, wenn der Arbeitsvertrag ausgelaufen ist.