Heutzutage sind die meisten Anwendungen und Anwendungs-systeme über das Web erreichbar und enthalten sensible Daten, die vor unbefugtem Zugriff geschützt werden müssen.
Um befugte Personen zweifelsfrei zu erkennen – zu authentifizieren – wurde der Standard SAML, Security Assertion Markup Language, entwickelt, für den Shibboleth eine Implementierung
darstellt.
Das Prinzip dahinter ist, dass die Webanwendung die Authentifizierung an einen anderen Dienst – den Identityprovider (IdP) – delegiert, der zuvor als vertrauenswürdig eingestuft wurde. Zusätzlich zur reinen Authentifizierung können weitere Daten zur authentifizierten Person übertragen werden.
Voraussetzung ist eine gegenseitige Vertrauensstellung, die durch den Austausch sogenannter Metadaten hergestellt wird. Dieser kann direkt zwischen IdP und der Anwendung (Service Provider, SP) erfolgen oder mittels einer Föderation, die mehrere SPs und IdPs zusammenfasst.
Die Shibboleth-Anmeldemethode bietet zwei große Vorteile. Zum einen bekommt die Webanwendung nach dem Logout zu keinem Zeitpunkt Zugriff auf das Passwort von Nutzenden, zum anderen bekommt die Webanwendung zum Zeitpunkt der Anmeldung immer aktuelle Daten zur angemeldeten Person vom IdP und benötigt so keine eigene Nutzerverwaltung. Ist dennoch eine Ressourcenverwaltung auf Nutzerebene nötig, kann die Person anhand von identifizierenden Attributen wiedererkannt werden und die lokal in der Anwendung gespeicherten Daten zur Person ggf. mit vom IdP übertragenen Daten (z. B. bei Namensänderungen) aktualisiert werden.
Der IdP der HU ist direkt an das zentrale IdM (HU-IAM) gekoppelt und verfügt so über aktuelle Account- und Personendaten. Ein praktisches Beispiel: Ein Webdienst der HU (z. B. AGNES) speichert lokal Daten zu Personen, da diese von der Anwendung auch nach dem Logout benötigt werden. Durch den Login mittels Shibboleth bekommt der Webdienst, sofern Nutzende zustimmen, auch aktuelle Daten wie z. B. Vorname, Nachname o. ä. mitgeteilt und kann die lokal gespeicherten Daten aktualisieren. So müssen Nutzende bei Namensänderung den Namen nicht mehr beim Webdienst ändern lassen, denn er wird ganz einfach beim nächsten Login der Person durch die übertragenen Daten aktualisiert.
Weitere Informationen finden Sie auf der Shibboleth-Webseite der HU