Shibboleth (Internet)

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Dieser Artikel beschäftigt sich mit dem softwaretechnischen Authentifizierungsverfahren Shibboleth. Für eine Beschreibung des namensgebenden Begriffs für Wörter, anhand deren Aussprache sich der Sprecher ausweisen kann, siehe Schibboleth.
Logo des Projekts

Shibboleth ist ein vom Internet2/MACE entwickeltes Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen und Webservices. Das Konzept von Shibboleth sieht vor, dass der Benutzer sich nur einmal bei seiner Heimateinrichtung authentisieren muss, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener Anbieter zugreifen zu können (engl. Single Sign-on). Shibboleth basiert auf einer Erweiterung des Standards SAML.

Etymologie[Bearbeiten]

Der Projektname stammt vom hebräischen Wort Schibboleth (hebr. שבולת) und bedeutet wörtlich ‚Getreideähre‘, wird aber im übertragenen Sinn heute auch in der Bedeutung von ‚Kennwort‘ oder ‚Codewort‘ verwendet. Zur näheren Erläuterung dieses erweiterten Wortsinns siehe Schibboleth.

Komponenten[Bearbeiten]

Die Software besteht aus drei Teilen:

Identity-Provider: befindet sich bei der Heimateinrichtung

Service-Provider: befindet sich beim Anbieter

Lokalisierungsdienst oder Discoveryservice (früher WAYF Where are you from?): kann optional eingesetzt werden, um die Heimateinrichtung des Benutzers zu lokalisieren.

Die Komponenten können unabhängig voneinander installiert werden. Damit Shibboleth funktionieren kann, werden mindestens ein Identity-Provider und ein Service-Provider benötigt. Das Release 2 von Shibboleth wurde am 17. März 2008 veröffentlicht, seit dem 1. Dezember 2009 ist die Version 2.3.1 verfügbar. Aktuell ist derzeit Version 2.5.

Funktionsweise[Bearbeiten]

Die Funktionsweise von Shibboleth lässt sich am einfachsten anhand des folgenden Szenarios erklären:

Authentifizierung (Wer bist du?)

Ein Benutzer will auf eine geschützte Ressource zugreifen. Der Anbieter nimmt die Anfrage entgegen und prüft, ob der Benutzer bereits authentifiziert ist. Wenn nicht, wird er zu einem Lokalisierungsdienst weitergeleitet. Der Lokalisierungsdienst bietet eine Auswahl von Einrichtungen an. Der Benutzer wählt seine Heimateinrichtung aus und wird zu dieser weitergeleitet. Die Heimateinrichtung prüft, ob der Benutzer bereits authentifiziert ist. Ist dies nicht der Fall, wird der Benutzer aufgefordert, dies zu tun (zum Beispiel mit Benutzerkennung und Passwort oder Chipkarte). Die Heimateinrichtung stellt einen "digitalen Ausweis" aus und leitet den Benutzer zum Anbieter zurück. Der Anbieter prüft den Inhalt des digitalen Ausweises.

Autorisierung (Was darfst du?)

Benötigt der Anbieter weitere Informationen, um zu entscheiden, ob der Benutzer auf die gewünschte Ressource zugreifen darf (zum Beispiel die Fakultätszugehörigkeit bei einer Universität), so fragt er bei der Heimateinrichtung des Benutzers nach. Der Anbieter prüft über das eigene System, ob der Benutzer auf die Ressource zugreifen darf, und gestattet den Zugriff oder lehnt ihn ab.

Einsatz[Bearbeiten]

Shibboleth findet vor allem im Bereich Wissenschaft und Lehre Anwendung und kann bilateral (ein Anbieter, eine Einrichtung), in einem größeren Umfeld wie in Baden-Württemberg (ReDI) und in Sachsen (SAXIS) oder flächendeckend für ein ganzes Land eingesetzt werden. Ab einer gewissen Größe übernimmt eine sogenannte Föderation (engl. federation) die Organisation und technische Unterstützung. Eine solche Föderation ist in Deutschland die DFN-AAI, die vom Deutschen Forschungsnetz (DFN) in Zusammenarbeit mit der Albert-Ludwigs-Universität Freiburg gegründet wurde. Andere Föderationen sind beispielsweise SWITCHaai (Schweiz), ACOnet Identity Federation (Österreich), DK-AAI (Dänemark), HAKA (Finnland), CRU (Frankreich) und UKFederation (Großbritannien).

Das Logo von Shibboleth ist ein Greif. Die als Markenname geschützte hebräische Bezeichnung Shibboleth hat ihren Ursprung im Alten Testament (siehe zur Etymologie von Schibboleth).

Weblinks[Bearbeiten]