Home | Sitemap  | Impressum | Datenschutz | KIT
OpenID Connect Provider
Das SCC stellt einen OpenID Connect Provider im Pilotbetrieb für alle KIT Nutzer zur Verfügung. Die eigentliche Authentifizierung erfolgt hierbei mit Shibboleth, womit ein Protokollübergreifendes SingleSignOn möglich ist. Der Pilotbetrieb bietet neben OpenID Connect / OAuth2 Zugangspunkten auch ein Webportal zur Session- und Tokenverwaltung für Endnutzer.
Kontakt:
Beratung:

Allgemeines

Mit den Standards OpenID Connect und OAuth2 ist es möglich, sich einer Anwendung (z. B. Webseite, Desktopanwendung oder mobile App) gegenüber zu authentifizieren und ggf zusätzlich dieser Anwendung den Zugriff auf weitere, HTTPS-basierte, Dienste zu erlauben, ohne der Anwendung die eigenen Zugangsdaten anvertrauen zu müssen. Derartige Anwendungen heißen bei OAuth Relying Party oder schlicht Client. Dies entspricht einem Serviceprovider im Shibboleth-Umfeld.

Nutzer werden zunächst über ihren Standardbrowser auf eine Login-Seite weitergeleitet, authentifizieren sich dort und werden nach Bestätigung der freigegebenen Attribute und Rollen zur Anwendung oder Webseite zurückgeleitet. Die vom Identity Provider freigegebenen Attribute und Rollen werden dabei in signierte JSON Web Tokens (JWT) verpackt. OAuth2-fähige Dienstschnittstellen akzeptieren ein solches Token als Authentifizierung, verifizieren dessen Signatur, interpretieren den Inhalt und gewähren (bzw. verbieten) entsprechend den dort hinterlegten und vom Nutzer freigegebenen Berechtigungen den Zugriff.

So kann man auch reinen Standalone Anwendungen oder mobilen Apps temporär oder dauerhaft Zugriff auf verschiedene Dienstschnittstellen ermöglichen, ohne dass man diesen Anwendungen die eigenen Zugangsdaten anvertrauen muss. Das Erstellen von Single-Page JavaScript Anwendungen, die im Namen des Nutzers verschiedene Dienstschnittstellen integrieren, wird damit ebenfalls möglich.

Die Tokens haben unterschiedliche Gültigkeitsdauer (Kurz‑ bzw. Langzeitauthentifizierung) und Funktionen (Identifikation, Zugriff und Token-Refresh). Neben den Nutzerattributen und Rollen enthalten sie verschiedene Daten über IDP und Relying Party sowie Gültigkeitsdauer und eine RSA-basierte digitale Signatur. Sie können je nach Nutzungsszenario auch dauerhaft in der jeweiligen Anwendung gespeichert und jederzeit von den Nutzern widerrufen werden.

Attribute

Standardmäßig werden die folgenden Attribute in ID- und Access-Tokens aufgeführt (hierbei werden die Attribute möglichst entsprechend den OpenID Connect Standardclaims und mit den gängigen Shibboleth bzw. LDAP/AD-Bezeichnern ausgeliefert):

  • preferred_username bzw. eduPersonPrincipalName: Nutzerlogin
  • email bzw. mail: primäre Email-Adresse
  • eduPersonScopedAffiliation: Zugehörigkeiten innerhalb des KIT

Weiterhin werden immer die folgenden Zugriffsrollen in Access‑, Refresh‑ und Offline-Tokens aufgeführt:

  • Zugehörigkeiten innerhalb des KIT

Sofern vom Serviceprovider benötigt, können weitere Attribute wie Vorname (given_name bzw. givenName), Name (first_name bzw. sn), Organisationseiheit (ou) oder Gruppenzugehörigkeit (memberOf) freigegeben werden. Weitere serviceproviderspezifische Zugriffsrollen können ebenfalls eingerichtet werden.

Pilotbetrieb im SCC

Das SCC stellt einen OpenID Connect Provider für alle KIT Nutzer zur Verfügung. Die eigentliche Authentifizierung erfolgt hierbei mit Shibboleth, womit ein Protokollübergreifendes SingleSignOn möglich ist. Der Pilotbetrieb bietet neben OpenID Connect / OAuth2 Zugangspunkten auch ein Webportal zur Session- und Tokenverwaltung für Endnutzer. Hier lassen sich jedem Dienst die jeweils freigegebene Attribute, Rollen und Langzeittokens wieder entziehen.

Weiterführende Links

Die Kosten für diesen Service werden entsprechend der für Sie geltenden Budgetierungsregelung berechnet.