Was ist eigentlich Shibboleth?

8. November 2007 um 15:59 4 Kommentare

Shibboleth wird zunehmend in Bibliotheken eingesetzt, so dass zum Beispiel Nutzer mit ihren normalen Account von Überall auf Nationallizenzen zugreifen können. Die TU-Chemnitz verwendet sogar Shibboleth für alle ihre Dienste (Gruß an ronsc). Jenni Krueger hat eine kurze Einführung erstellt, die zum Einsteig in die Materie ganz hilfreich ist. Zusätzliche Quellen gibt es dazu bei bibsonomy. Zum Vergleich von OpenID und Shibboleth habe ich auch nicht viel gefunden, dieser Vortrag von Leigh Dodds ist ganz nett (auch mit weiteren Quellen). Relevant wird vielleicht in Zukunft vielleicht noch OAuth.

Shibboleth ist ein Projekt des Internet2-Konsortiums und eine Open Source Anwendung zur Authentifizierung und Autorisierung für webbasierte Anwendungen und Services, die auf dem SAML-Standard basiert. Die Grundidee von Shibboleth ist es, dass jeder Benutzer sich nur einmal bei seiner Heimateinrichtung identifizieren muss, um die Dienste verschiedener Anbieter ortsunabhängig nutzen zu können. Dieses Prinzip nennt man „Single Sign-On“. Dadurch wird das Problem vieler verschiedener Nutzernamen und Passwörter für unterschiedliche Services oder lizensierte Materialien gelöst und ihre Nutzung wesentlich vereinfacht.

Wenn ein Benutzer über eine beliebige Internetverbindung auf einen Service oder eine geschützte Quelle zugreifen möchte, dann muss zunächst geprüft werden, ob er schon authentifiziert ist. Wenn das nicht der Fall ist, leitet der Service-Provider den Nutzer an einen Lokalisierungsdienst weiter, der die Heimateinrichtung des Nutzers ermittelt. Dort muss sich der Benutzer beim Identity-Provider der Heimateinrichtung mit Nutzernamen und Passwort identifizieren. Nach erfolgreicher Identifikation wird der Nutzer zurück zum Anbieter geleitet. Wenn der Service-Provider noch weitere Informationen benötigt, kann er beim Identity-Provider bestimmt Rechte oder Zugehörigkeiten erfragen, um zu ermitteln, ob der Nutzer autorisiert ist.

Die Authentifizierungs- und Autorisierungsinformationen können während der Sitzung in einem Cookie gespeichert werden, dadurch ist dann die Möglichkeit des Single Sign-On gegeben und der Nutzer spart sich bei einem weiteren Serviceanbieter erneute Anmeldeschritte. Voraussetzung für dieses ganze System ist, dass die Heimateinrichtung eine Instanz des Identity-Providers betreibt und die Serviceanbieter der angefragten Quelle den Service-Provider von Shibboleth betreiben.

Angestrebt ist ein flächendeckender und vielleicht sogar europaweit einheitlicher Einsatz von Shibboleth. Ab einer gewissen Größe des Einsatzgebietes übernimmt eine sogenannte Föderation die Organisation. Die Föderation soll alle Identity-Provider und Service-Provider in einer Dachorganisation vereinen und alle Standards des Verfahrens einheitlich für alle Mitglieder regeln. Außerdem soll sie den Lokalisierungsdienst für alle Mitglieder betreiben. In Deutschland wurde eine solche Föderation (DFN-AAI) vom Deutschen Forschungsnetz (DFN) in Zusammenarbeit mit der Universität Freiburg gegründet und auch in anderen Ländern gibt es schon Föderationen zur Leitung des Einsatzes von Shibboleth:DK-AAI (Dänemark), HAKA (Finnland), CRU (Frankreich), UKFederation (Großbritannien), SWITCH (Schweiz).

Die Unterschiede zu anderen Programmen wie OpenID (ähnlich wie Shibboleth, aber Konzept der URL-basierten Identität, eher für Unternehmen) und LDAP („Leihtweight Directory Access Protocol“, Einsatz bei Verzeichnisdiensten, Client/Server-Modell, Informationen auf Abfrage) liegt unter anderem darin, dass der Zugriff auf eine zugriffsgeschützte Quelle nicht mehr an einen Rechner gebunden ist, sondern an die Person, die auf die Quelle zugreifen möchte. Nutzer erhalten eine elektronische Identität mit Attributen, die die Grundlage für die Autorisierung und Zugriffskontrolle mit Shibboleth bilden. Shibboleth soll durch die stärkere Trennung von Personendaten und Services den bisherigen IP-Nummern-basierten Zugriff möglichst ganz ersetzen und ein organisationsübergreifendes Identity-Management schaffen.

Shibboleth wird bereits in verschiedenen Bereichen eingesetzt, vor allem in der Wissenschaft und Lehre, denn an vielen Bibliotheken oder Universitäten gibt es mittlerweile eine Vielzahl an elektronischen Diensten, Angeboten und lizensierten Materialen, für die eine komfortable und zugleich sichere Zugangsverwaltung und –kontrolle notwendig ist. In Deutschland beteiligen sich beispielsweise: Uni Freiburg, Uni Regensburg, Vascoda, das FIZ-Technik, Genios, der GBV und Springer. Auf der offiziellen Website gibt es eine relativ lange Liste von Anwendungen und Services, in denen Shibboleth integriert ist oder gerade integriert wird, zum Beispiel EBSCO Publishing, ExLibris, OCLC, Moodle und Napster. Außerdem findet man auf der gleichen Seite die Links zu den Föderationen im Ausland.

4 Comments »

RSS feed for comments on this post. TrackBack URI

  1. Weitere Infos:
    https://www.aai.dfn.de
    http://aar.vascoda.de

    Von der Grundidee geht Shibboleth davon aus, dass ein Nutzer immer einer Heimateinrichtung angehört, d.h. eine Institution seine Benutzerdaten verwaltet. Das kann eine Bibliothek, ein Uni-Rechenzentrum oder das Studentensekrtariat sein. Daher ist es völlig ausreichend, wenn diese Heimateinrichtung die Benutzerdaten exklusiv pflegt (= Identity Prover). Weiter wird davon ausgegangen, dass die Heimateinrichtung vertrauenswürdig ist und man sich sozusagen „auf ihr Wort verlassen kann“. Das bedeutet: Möchte ein Benutzer eine geschützte Internetressource verwenden, beispielsweise eine Datenbank einer Bibliothek oder eines Verlages, so wird der Benutzer gefragt: „Wo kommst Du her?“ (Where are you from? = WAYF). Nachdem der Benutzer das einem speziellem Server (WAYF-Server) mitgeteilt hat, wird er ggf. von seiner Heimateinrichtung gebeten sich mit einem Login zu authentifizieren. Somit kann der Anbieter der Ressource (Sercive Provider) bei der Heimateinrichtung nachfragen „Kennst Du den?“. Wenn das bejaht wurde, wird der Service Provider anhand von Nutzermerkmalen (Attributen) den Zugriff auf die gewünschte Ressource gewähren (autorisieren) oder verweigern. Gelangt der Nutzer anschließend zu Angeboten eines anderen Services Providers muss der Benutzer sich nicht mehr authentifizieren, weil die Kommunikation zwischen dem Identity Provider und dem Servcice Provider nun im Hintergrund ablaufen kann.

    Föderation:
    Was hier technisch stark vereinfacht geschildert wurde, setzt letztlich ein regelbasiertes Vertrauensmodell zwischen Identity Provider und Service Provider voraus, um sich auf Zusagen des jeweils anderen verlassen zu können. Alle notwendigen Regeln, die Überwachung der Regeln und Sanktionen bei Verstößen werden in einer Föderation vertraglich festgelegt. Alle Beteiligten, die auf die oben beschriebe Wiese authentifizieren und autorisieren möchten, müssen zwingend der selben Föderation angehören.

    Vorteile:
    Welche Vorteile bringt Shibboleth also? Nun hier kann man sehr klar die Vorteile für die einzelnen Akteure benennen. Für den Benutzer bedeutet es, sich nur einmal authentifizieren zu müssen, um verschiedene geschützte Angebote nutzen zu dürfen(SSO). Außerdem können die geschützten Ressourcen nun unabhängig vom geographischen Ort genutzt werden. Schließlich wird der Datenschutz gestärkt, da Nutzerdaten einerseits nicht mehr jedem Anbieter übermittelt werden müssen, anderseits die Daten dezentral verwaltet werden. Anbieter können die zu schützenden Angebote mit vergleichsweise geringem Aufwand absichern und benötigen keine eigene Benutzerverwaltung mehr. Zuletzt bringt es allen Institutionen auf Grund der leichten Steuerbarkeit des Zugriffs auf zu schützende Angebote Erleichterungen. Mitglieder einer anderen Institution können so geschützte Angebote, entsprechende Rechte vorausgesetzt, ebenfalls nutzen. Schließlich wird auch die Einbindung neuer Angebote stark vereinfacht.

    Comment by Gerald — 9. November 2007 #

  2. Ich habe mir inzwischen mal etwas genauer OpenID angeschaut und denke, dass Shibboleth-Identity-Provider auch parallel als OpenID-Identity-Provider agieren könnten (und sollten!). Falls wie angekündigt Firefox 3 direkt OpenID unterstützt, ist auch die Phising-Gefahr geringer.

    Comment by jakob — 8. Dezember 2007 #

  3. […] Auch die Möglichkeit von Identifikationsverfahren, die über das lokale Netz hinausgehen z.B. Shibboleth, stellen eine herannahende Herausforderung für den Verbund […]

    Pingback by 12. GBV Konferenz - Zwischen Rationalisierungdruck und Harmonie « BibliothekarInnen sind uncool — 12. September 2008 #

  4. […] Was ist eigentlich Shibboleth? […]

    Pingback by [Kurz] Shibboleth - Bibliothekarisch.de - Ehemals Chaoslinie.de — 19. September 2008 #

Sorry, the comment form is closed at this time.