icon-symbol-logout-darkest-grey

ServiceShibboleth Identity Provider

Authentifizierung und Autorisierung mit Single-Sign-On.

Das URZ betreibt einen Shibboleth Identity Provider (IdP), der einen geschützten Single-Sign-On (SSO)-Dienst bereitstellt. Durch eine Anmeldung am Shibboleth Provider mit ihrer persönlichen Uni-ID können Sie weitere Dienste, die an Shibboleth angebunden sind, nutzen, ohne eine zusätzliche Authentifizierung vorzunehmen.

An der Universität Heidelberg wird der IdP zur Nutzung der Landesdienste, z.B. bwForCluster, benötigt (bwIDM). Aber auch Heidelberg-spezifische Dienste werden über Shibboleth angebunden, z.B. der Service heiBOX.

Zielgruppe

  • Beschäftigte
  • Studierende
  • Lehrbeauftragte
  • Mitglieder und Angehörige der Universität

Nutzen

  • Single Sign-On (SSO) ermöglicht, mit einem einzigen Log-in mehrere Websites oder Services zu nutzen
  • Nutzung vieler (wissenschaft­licher) Dienste über die zentrale Identifikationskennung der Heimatuniversität. Der IdP kann benötigte Informationen an die Dienste übermitteln.

Zugang und Voraussetzungen

Für Nutzer:innen

Beim Web-Login zu einem durch Shibboleth geschützten Dienst wird die oder der Nutzer:in auf die IdP-Seite der eigenen Einrichtung umgeleitet. Auf dieser werden Gültigkeit von Uni-ID und Passwort geprüft. Anschließend erhält der anfragende Dienst nur noch die für die Autorisierung notwendigen Daten, im Regelfall lediglich ein dienstspezifisches Pseudonym (targeted-ID), anhand dessen der Dienst den Nutzer:innen dasselbe Profil zuordnen kann - niemals jedoch das Passwort.

Für IT-Dienste / IT-Fachpersonal

Wenn Sie den Shibboleth Identity Provider des URZ für Ihren IT-Dienst verwenden möchten, können Sie dafür einen Antrag über das verlinkte Formular stellen.

Technische Informationen

Neben dem Pseudonym kann der Dienst zur Autorisierung folgende an ihn übermittelte Daten heranziehen:

  • Zugehörigkeitsverhältnis zur Universität (affiliation: student, faculty, staff, member, affiliate,...)
  • konkret vereinbarte Zeichenketten für weitergehende Berechtigungen (entitlements)

Sofern notwendig,  können noch weitere personenbezogene Attribute angefordert werden, die erst nach Zustimmung durch den Nutzer oder die Nutzerin übermittelt werden.

Im Kontext der Universitätsbibliothek werden seit längerem Online-Angebote einiger Verlage via Shibboleth realisiert. Für diese ist zusätzlich auch ein Login via HEIDI-Kennung (nur Ziffern, 8-stellig, z.B. 00123456) möglich.

Häufig gestellte Fragen

Tabelle

FrageAntwort
FrageAntwort
Welche Informationen (oder Attribute) werden vom Shibboleth-IdP an einen Serviceprovider geliefert? 

Eine Übermittlung der gelisteten Attribute und deren Werte findet nur statt, wenn der Serviceprovider diese angefordert und die oder der Nutzer:in der Übermittlung zugestimmt hat.

1. Statische Attribute
Die hier beschriebenen Attribute sind personenunabhängig immer identisch:

  • bwidmorgid: Eindeutiges Kürzel innerhalb der bwidm-Föderation / hd
  • o : Organisation / uni-heidelberg.de

2. Personenbezogene Attribute
Die vorliegenden Attribute werden aus dem Identity Management bezogen:

  • displayName: im Regelfall die Kombination aus Vor- und Familiennamen (givenname sn), z. B. Max Mustermann
  • eduPersonAffiliation: Zugehörigkeit zu der Einrichtung.
  • eduPersonEntitlement: dienstspezifische Berechtigung.
  • eduPersonPrincipalName: die aus der UserID und dem Scope eindeutig zugeordnete Nutzerkennung, d.h."uni-id[at]uni-heidelberg.de"
  • eduPersonScopedAffiliation: Zugehörigkeit zu der Einrichtung.
  • eduPersonTargetedID: ältere Version der persistentID (wird in der Übersicht der zu übermittelnden Daten nicht angezeigt*)
  • eduPersonUniqueId: ein aus der UserID abgeleiteter und verhashter Wert, z. B."nqw3uinq234nfr[at]uni-heidelberg.de"
  • givenName: Vorname, z. B. Max
  • mail: der vom Nutzer zugeordnete E-Mail-Adresse. Falls der Nutzer meherer Adressen zugeordnet sind, wird die Standard-Absender-Adresse geführt, z. B.Mustermann[at]uni-heidelberg.de
  • persistentID: eine Kennung, die individuell für jeden Serviceprovider einmalig erzeugt wird, diese bleibt im Gegensatz zur transientID auch zwischen Sessions erhalten (wird in der Übersicht der zu übermittelnden Daten nicht angezeigt*)
  • sn: auch als surname bekannt: im Regelfall der Familienname, z. B. Mustermann
  • transientID: eine „vorbeiziehende“ Kennung, welche für jeden Serviceprovider individuell bei jeder Session neu erzeugt wird (wird in der Übersicht der zu übermittelnden Daten nicht angezeigt*)
  • uid: Die dem Nutzer zugeordnete Nutzerkennung, d.h. die Uni-ID, z. B. ab123
Welche Zugehörigkeiten zur Universität werden von Shibboleth genutzt?

Die folgenden Zugehörigkeiten zur Universität werden von Shibboleth genutzt:

Affiliation / Scoped Affiliation

  • employee / Mitarbeiter:in der Universität Heidelberg
  • student / Studierende der Universität Heidelberg
  • faculty /Wissenschaftliches Personal, hauptsächlich in der Lehre tätig
  • staff / Nicht-wissenschaftliches, Verwaltungs- oder technisches Personal
  • member / Mitglied oder Angehörige:r der Universität – Nutzer:innen mit den Zugehörigkeiten faculty, staff, student, employee erhalten diesen Wert automatisch
  • affiliate / Sonstige Zugehörigkeit zur Universität
  • library-walk-in / Nutzer:in der Universitätsbibliothek, welche:r sich im Gebäude der Bibliothek aufhält
  • alum / Ehem. Mitglied der Universität. - In Heidelberg nicht genutzt!

Die oben aufgeführten Werte können auch mit einem sog. „scope“ (z.B. "member[at]uni-heidelberg.de") versehen sein, welches grob mit „im Geltungsbereich von...“ übersetzt werden kann. Sie werden aber auch ohne scope (z. B. "member") eingesetzt.

Welche möglichen Werte gibt es für die Berechtigungen (engl. "entitlement")?

Die Berechtigungen können in zwei verschiedenen Notationen geführt werden:

  • 1. URN-Notation, z.B. "urn:de:abc:xyz_dad:11312-2313:". Die so notierten Werte sind zentral registriert und somit weltweit eindeutig.
  • 2. URL-Notation, z.B.

    http://beispiel.de/entitlement/freigabe

    Bei den so notierten URLs muss es sich nicht um „funktionierende“ Webseiten handeln.

1. URN-type-entitlements

  • urn:geant:dfn.de:uni-heidelberg.de:entitlement:heibox
    Berechtigung zur Nutzung des Dienstes

    https://www.urz.uni-heidelberg.de/de/heibox

    Voraussetzung ist der Status als Mitarbeiter:in oder Doktorand:in.
  • urn:geant:dfn.de:uni-heidelberg.de:entitlement:ub_uni_ma
    Mitarbeiter:innen Medizinische Fakultät MA
  • urn:geant:dfn.de:uni-heidelberg.de:entitlement:ub_uni_ub
    Mitarbeiter:innen UB HD
  • urn:geant:dfn.de:uni-heidelberg.de:entitlement:ub_tan
    UB-Nutzergruppe mit TAN-Verfahren für Fernleihe
  • urn:mace:dir:entitlement:common-lib-terms
    Zulassung zu lizenzpflichtigen Diensten gemäß den Standardbedingungen für Lizenzverträge
  • urn:mace:ub.uni-freiburg.de:entitlement:unihd:redi:ma
    Zulassung zu bestimmten Diensten von

    https://www-fr.redi-bw.de/

2. URL-type-entitlements

  • http://bwidm.de/entitlement/bwForCluster


    Berechtigung zur Nutzung des Dienstes:

    https://www.urz.uni-heidelberg.de/de/bwforcluster

  • http://bwidm.de/entitlement/bwLSDF-SyncShare


    Berechtigung zur Nutzung des Dienstes :

    https://www.alwr-bw.de/kooperationen/bwsync-share/


    Für Nutzer:innen der Uni Heidelberg wird die Berechtigung automatisch erteilt, sofern die member-Zugehörigkeit erfüllt ist.
  • http://bwidm.de/entitlement/bwLSDF-FileService


    Berechtigung zur Nutzung des Dienstes:

    https://www.bwhpc-c5.de/wiki/index.php/BwFileStorage

  • http://bwidm.de/entitlement/bwUniCluster


    Berechtigung zur Nutzung des Dienstes:

    https://www.urz.uni-heidelberg.de/de/bwunicluster

  • http://bwidm.de/entitlement/sds-hd-sv


    Berechtigung, um im Rahmen des Dienstes:

    https://www.urz.uni-heidelberg.de/de/sds-hd


    ein Speichervorhaben neu beantragen zu können. Voraussetzung ist der Status als Mitarbeiter:in.
  • http://bwidm.de/entitlement/sds-hd-user


    Berechtigung, um im

    https://www.urz.uni-heidelberg.de/de/sds-hd

    ein Speichervorhaben mitnutzen zu können