Einführung in Shibboleth
Shibboleth ist ein Open Source Produkt, das in der aktuellen Version 2.x auf dem OASIS-Standard SAML 2.0 (siehe Einführung in SAML) basiert und das die folgenden drei Komponenten beinhaltet:- Identity Provider (IdP)
Ein Identity Provider verwaltet Berechtigungsnachweise und Attribute zu Personen. Der IdP stellt Authentication Assertions und Attribute Assertions (vgl. EinfuehrungSaml) für Service Provider aus. Dabei werden Attribute Assertions auch zweckentfremdet, um Autorisierungsinformationen zu übertragen.
- Service Provider (SP)
Der Service Provider verwaltet geschützte Ressourcen. Anhand der Authentication Assertions und Attribute Assertions entscheidet der Service Provider darüber, ob der Zugriff auf eine geschützte Ressource gewährt wird.
- Discovery Service
Diese optionale Komponente kann von einem Service Provider genutzt werden, um herauszufinden, welcher Identity Provider für den Benutzer zuständig ist. Die Zuordnung zu einem IdP kann entweder automatisch oder mit Interaktion des Benutzers erfolgen.
Zwischen den Identity Providern, den Service Providern und den Discovery Services muss eine Vertrauensbeziehung hergestellt werden. Dazu werden Informationen wie Zertifikate und digitale Signaturen in Metadaten gespeichert, mit denen insbesondere die Schutzziele Authentizität, Integrität und Vertraulichkeit verfolgt werden.
Shibboleth unterstützt auch Single Sign-On. Das Single Sign-On beschränkt sich jedoch im Wesentlichen nur auf Webbrowseranwendungen. Service Provider für beispielsweise den Anmeldeprozess von Betriebssystemen oder E-Mail-Clients befinden sich noch in der Entwicklung.
Weitere wichtige Funktionen stellt Shibboleth mit den Attributfiltern des Identity Providers und des Service Providers bereit. Mit dem Attributfilter des Identity Providers wird zentral festgelegt, welche Attribute an welchen Service Provider übermittelt werden dürfen. Mit einem eigenen Attributfilter regelt wiederum der Service Provider, welche Attribute und Attributwerte dieser von einem Identity Provider akzeptiert.
Webmail
Portal
Datenablage
Shell