Shibboleth im Einsatz an der RUB
31.08.2017
Mit der RUB LoginID können Studierende und Mitarbeiter/innen zahlreiche Dienste an der RUB nutzen. Mal eben schnell bei SpringerLink anmelden und über die Universitätsbibliothek ein Buch herunterladen. Hinter diesen scheinbar simplen Anmeldevorgängen steckt eine seit Jahren an der RUB bewährte Authentifizierungs- und Autorisierungs Infrastruktur auf Basis des OpenSource Dienstes Shibboleth. Diese ermöglicht, dass Benutzer/innen sich nur einmal bei ihrer Heimateinrichtung authentifizieren müssen, um ortsunabhängig auf Dienste verschiedener Anbieter zugreifen zu können.
Was heißt das genau
Studierende und Mitarbeiter/innen der RUB bekommen eine RUB LoginID zugeteilt, mit der sie sich mit dem dazugehörigen Passwort an dem sogenannten Identity Provider der RUB authentifizieren können. Der Identity Provider ist der Teil des Shibboleth-Dienstes, der die Authentifizierung und Informationsweitergabe übernimmt. Im Identity Provider ist hinterlegt, welcher Dienst welche Nutzerdaten benötigt. Nach Zustimmung durch den Nutzer werden diese Daten an den jeweiligen Dienst übermittelt.
Damit das Angebot der Dienste möglichst groß ist, gehört die RUB der DFN AAI Föderation an. Dieser Verbund von verschiedenen Dienstleistern ermöglicht einen vertraglich vereinbarten und vertraulichen Austausch von Nutzerdaten. Welche Nutzerdaten welcher Dienstleister erhalten darf, wird jeweils in Absprache mit dem Datenschutzbeauftragten festgelegt. So können mit nur einer RUB LoginID und einem Passwort viele verschiedene Dienste, wie z.B. SpringerLink, lynda.com und Web of Science, genutzt werden.
Früher konnte man ausschließlich direkt vom Campus aus oder über einen VPN Tunnel von zu Hause über das RUB-Netz auf einen Dienst zugreifen. Mit Shibboleth gibt es nun eine dritte Alternative mit dem sogenannten einrichtungsübergreifenden Web-Single-Sign-On. Wer sich einmal bei der RUB authentifiziert hat, wird auch von den Teilnehmern der Föderation erkannt und kann die dort angebotenen Dienste nutzen – und zwar von überall auf der Welt abrufbar.
Shibboleth immer auf dem neuesten Stand
IT.SERVICES ist für die Implementierung von Shibboleth an der RUB tätig und hat den Dienst nun erfolgreich von Version 2.4 auf 3.2 umgestellt. Mit Shibboleth 3.2 lassen sich die Services noch leichter an das Identity Management der RUB anbinden und die Datenschutzanforderungen leichter umsetzen.
Föderationen verbinden
Während Shibboleth die Anbieter innerhalb der DFN AAI Föderation miteinander verbindet, ermöglicht der Dienst eduGain die Verbindung von verschiedenen Föderationen. Der Identity Provider der RUB nimmt auch an diesem Programm teil und kann somit auch Dienstleister unterstützen, die anderen Föderationen angehören. So entsteht ein noch größeres Netz aus Diensten, die genutzt werden können. Beispielsweise wird so die Anbindung an die Forschungsinfrastruktur elixireurope realisiert, durch die Forscher der Biowissenschaften in ganz Europa Daten leichter finden, analysieren und teilen können.
Angebot für Einrichtungen der RUB
Wenn Einrichtungen der RUB externe Dienstleistungen lizensieren oder buchen und diese Shibboleth unterstützen, kann IT.SERVICES die Dienstleister schnell und einfach an den Identity Provider der RUB anbinden. Dadurch können Nutzer/innen mit ihrer RUB LoginID auf die jeweilige Dienstleistung zugreifen. Ein Beispiel dafür ist DATEV Students, eine Online-Plattform für das Thema Steuerrecht, welche auf Wunsch von dem Lehrstuhl für betriebswirtschaftliche Steuerlehre freigegeben wurde.
Andersherum ist es ebenfalls möglich, Dienstleistungen für andere Universitäten so bereitzustellen, dass sich deren Studierende und Mitarbeiter/innen mit dem Account ihrer Heimateinrichtung für diese Dienstleistung anmelden können. Ein Beispiel dafür ist die Shibboleth-Anbindung für Studierende der Universitäten Duisburg-Essen und TU-Dortmund, die sich voraussichtlich ab dem Wintersemester 17/18 mit ihrem Heimataccount an der Moodle-Instanz der RUB anmelden können. Die Teilnahme an Lehrveranstaltungen der RUB, die auch von Studierenden der UA-Ruhr Universitäten besucht werden können, soll so einfacher werden. Die Studierenden erhalten so Zugriff auf die entsprechenden Veranstaltungsunterlagen. Bisher müssen diese Studierenden einen gesonderten Account bei der RUB beantragen. Dies soll zukünftig also durch die Shibboleth-Anbindung ersetzt werden. Das Projekt befindet sich zurzeit in der Testphase.