DFN-AAI

Shibboleth-Identity Provider

DFN AAI Föderation
Die DFN AAI Föderation ist ein Verbund von Identity Providern der Hochschulen und teilnehmenden Serviceprovidern. Die Föderation erlaubt standardmäßigen Zugriff der Teilnehmer auf die Authentifizierungsinfrastruktur der Hochschulen. Eine Liste der Teilnehmer befinden sich auf den Webseiten der DFN AAI: Teilnehmerliste

Übermittelte Attribute: transientId, affiliation, entitlement
Allgemeines

Der Shibboleth Identity Provider ermöglich es, BUW-Benutzer gegenüber Institutionen außerhalb und innerhalb der BUW zu authentifizieren, ohne sensible Daten an diese Institutionen übertragen zu müssen. Dabei wird der Benutzer von einem Serviceprovider zu dem Identity Provider weitergeleitet und kann sich dort authentifizieren. Bei erfolgreicher Authentifizierung wird der Benutzer wieder zu dem Serviceprovider zurückgeitet und diesem wird mitgeteilt, dass die Authentifizierung erfolgreich war.
Zusätzlich ist es möglich, dem Serviceprovider weitere Attribute des Benutzers zu übermitteln. Diese übermittelten Attribute werden in den folgenden Dienstvarianten aufgeführt.

Bedeutung der Attribute
Die meisten der Attribute, wie z.B. Vorname, Nachname und Uni-Login sind selbsterklärend.

  • transientId: Eine transiente Id dient der Reauthentifizierung einer Session bei verschiedenen Serviceprovider. Diese wird jedesmal neu erzeugt, wenn die Session beim Identity Provider nach 30 Minuten inaktivität abläuft.
  • persistentId: Eine persistente Id wird für ein bestimmten Serviceprovider erzeugt, abgespeichert und jedesmal wieder übermittelt, wenn der Benutzer sich bei diesem Serviceprovider authentifiziert. Dadurch ist es möglich einen Nutzer wiederzuerkennen ohne zusätzliche Daten zu kennen. Dieses Attribut kann nicht zusammen mit einer transientId übermittelt werden.
  • affiliation: In der Affiliation wird die Gruppenzugehörigkeit an der Bauhaus-Universität Weimar übermittelt. Jedes Mitglied besitzt dabei den Affiliation »member«. Studierende besitzen zusätzlich die Affiliation »student« und Mitarbeiter »employee«. Viele Service Provider entscheiden anhand dieses Attributs über Zugangsberechtigungen.
  • entitlement: Ein Entitlement ist ein Lizenzstatus der Bibliotheken. So wird in der Regel der Wert »common-lib-terms« übermittelt.

Wann werden Attribute vergeben
Die übermittelten Attribute werden vom Identitätsmanagementsystem (IDM) an Shibboleth übermittelt. Quellsysteme sind die Systeme des Dezernats Personal für Mitarbeiter und des Dezernats Studium und Lehre für Studierende. Änderungen an diesen Daten kann das SCC nicht vornehmen. Diese Daten werden um das Uni-Login und die E-Mailadresse ergänzt. Dabei ist zu beachten, dass die Attribute affiliation und entitlement bei Mitarbeitern vom Vertragsstatus abhängen. So ist es möglich, dass das Benutzerkonto noch mit Login funktioniert, das Attribute »employee« wird aber nicht mehr gesetzt, wenn der Arbeitsvertrag ausgelaufen ist.