Service Shibboleth Identity Provider

Authentifizierung und Autorisierung mit Single-Sign-On.

Das URZ betreibt einen Shibboleth Identity Provider (IdP), der einen geschützten Single-Sign-On (SSO)-Dienst bereitstellt. Durch eine Anmeldung am Shibboleth Provider mit ihrer persönlichen Uni-ID können Sie weitere Dienste, die an Shibboleth angebunden sind, nutzen, ohne eine zusätzliche Authentifizierung vorzunehmen.

An der Universität Heidelberg wird der IdP zur Nutzung der Landesdienste, z.B. bwForCluster, benötigt (bwIDM).

Zielgruppe

Beschäftigte
Studierende
Lehrbeauftragte
Mitglieder und Angehörige der Universität

Nutzen

Single Sign-On (SSO) ermöglicht, mit einem einzigen Log-in mehrere Websites oder Services zu nutzen
Nutzung vieler (wissenschaftlicher) Dienste über die zentrale Identifikationskennung der Heimatuniversität. Der IdP kann benötigte Informationen an die Dienste übermitteln.

Zugang und Voraussetzungen

Für Nutzer:innen

Beim Web-Login zu einem durch Shibboleth geschützten Dienst wird die oder der Nutzer:in auf die IdP-Seite der eigenen Einrichtung umgeleitet. Auf dieser werden Gültigkeit von Uni-ID und Passwort geprüft. Anschließend erhält der anfragende Dienst nur noch die für die Autorisierung notwendigen Daten, im Regelfall lediglich ein dienstspezifisches Pseudonym (targeted-ID), anhand dessen der Dienst den Nutzer:innen dasselbe Profil zuordnen kann - niemals jedoch das Passwort.

Für IT-Dienste / IT-Fachpersonal

Wenn Sie den Shibboleth Identity Provider des URZ für Ihren IT-Dienst verwenden möchten, können Sie dafür einen Antrag über das verlinkte Formular stellen.

Webformular: Antrag auf Freigabe von Shibboleth-Attributen an neuen Dienst

Technische Informationen

Neben dem Pseudonym kann der Dienst zur Autorisierung folgende an ihn übermittelte Daten heranziehen:

Zugehörigkeitsverhältnis zur Universität (affiliation: student, faculty, staff, member, affiliate,...)
konkret vereinbarte Zeichenketten für weitergehende Berechtigungen (entitlements)

Sofern notwendig, können noch weitere personenbezogene Attribute angefordert werden, die erst nach Zustimmung durch den Nutzer oder die Nutzerin übermittelt werden.

Im Kontext der Universitätsbibliothek werden seit längerem Online-Angebote einiger Verlage via Shibboleth realisiert. Für diese ist zusätzlich auch ein Login via HEIDI-Kennung (nur Ziffern, 8-stellig, z.B. 00123456) möglich.

Häufig gestellte Fragen

Tabelle

Welche Informationen (oder Attribute) werden vom Shibboleth-IdP an einen Serviceprovider geliefert?	Eine Übermittlung der gelisteten Attribute und deren Werte findet nur statt, wenn der Serviceprovider diese angefordert und die oder der Nutzer:in der Übermittlung zugestimmt hat. 1. Statische Attribute Die hier beschriebenen Attribute sind personenunabhängig immer identisch: bwidmorgid: Eindeutiges Kürzel innerhalb der bwidm-Föderation / hd o : Organisation / uni-heidelberg.de 2. Personenbezogene Attribute Die vorliegenden Attribute werden aus dem Identity Management bezogen: displayName: im Regelfall die Kombination aus Vor- und Familiennamen (givenname sn), z. B. Max Mustermann eduPersonAffiliation: Zugehörigkeit zu der Einrichtung. eduPersonEntitlement: dienstspezifische Berechtigung. eduPersonPrincipalName: die aus der UserID und dem Scope eindeutig zugeordnete Nutzerkennung, d.h."uni-id[at]uni-heidelberg.de" eduPersonScopedAffiliation: Zugehörigkeit zu der Einrichtung. eduPersonTargetedID: ältere Version der persistentID (wird in der Übersicht der zu übermittelnden Daten nicht angezeigt) eduPersonUniqueId: ein aus der UserID abgeleiteter und verhashter Wert, z. B."nqw3uinq234nfr[at]uni-heidelberg.de" givenName: Vorname, z. B. Max* mail: der vom Nutzer zugeordnete E-Mail-Adresse. Falls der Nutzer meherer Adressen zugeordnet sind, wird die Standard-Absender-Adresse geführt, z. B.Mustermann[at]uni-heidelberg.de persistentID: eine Kennung, die individuell für jeden Serviceprovider einmalig erzeugt wird, diese bleibt im Gegensatz zur transientID auch zwischen Sessions erhalten (wird in der Übersicht der zu übermittelnden Daten nicht angezeigt) sn: auch als surname bekannt: im Regelfall der Familienname, z. B. Mustermann* transientID: eine „vorbeiziehende“ Kennung, welche für jeden Serviceprovider individuell bei jeder Session neu erzeugt wird (wird in der Übersicht der zu übermittelnden Daten nicht angezeigt) uid: Die dem Nutzer zugeordnete Nutzerkennung, d.h. die Uni-ID, z. B. ab123*
Welche Zugehörigkeiten zur Universität werden von Shibboleth genutzt?	Die folgenden Zugehörigkeiten zur Universität werden von Shibboleth genutzt: Affiliation / Scoped Affiliation employee / Mitarbeiter:in der Universität Heidelberg student / Studierende der Universität Heidelberg faculty /Wissenschaftliches Personal, hauptsächlich in der Lehre tätig staff / Nicht-wissenschaftliches, Verwaltungs- oder technisches Personal member / Mitglied oder Angehörige:r der Universität – Nutzer:innen mit den Zugehörigkeiten faculty, staff, student, employee erhalten diesen Wert automatisch affiliate / Sonstige Zugehörigkeit zur Universität library-walk-in / Nutzer:in der Universitätsbibliothek, welche:r sich im Gebäude der Bibliothek aufhält alum / Ehem. Mitglied der Universität. - In Heidelberg nicht genutzt! Die oben aufgeführten Werte können auch mit einem sog. „scope“ (z.B. "member[at]uni-heidelberg.de") versehen sein, welches grob mit „im Geltungsbereich von...“ übersetzt werden kann. Sie werden aber auch ohne scope (z. B. "member") eingesetzt.
Welche möglichen Werte gibt es für die Berechtigungen (engl. "entitlement")?	Die Berechtigungen können in zwei verschiedenen Notationen geführt werden: 1. URN-Notation, z.B. "urn:de:abc:xyz_dad:11312-2313:". Die so notierten Werte sind zentral registriert und somit weltweit eindeutig. 2. URL-Notation, z.B. http://beispiel.de/entitlement/freigabe Bei den so notierten URLs muss es sich nicht um „funktionierende“ Webseiten handeln. 1. URN-type-entitlements urn:geant:dfn.de:uni-heidelberg.de:entitlement:heibox Berechtigung zur Nutzung des Dienstes https://www.urz.uni-heidelberg.de/de/heibox Voraussetzung ist der Status als Mitarbeiter:in oder Doktorand:in. urn:geant:dfn.de:uni-heidelberg.de:entitlement:ub_uni_ma Mitarbeiter:innen Medizinische Fakultät MA urn:geant:dfn.de:uni-heidelberg.de:entitlement:ub_uni_ub Mitarbeiter:innen UB HD urn:geant:dfn.de:uni-heidelberg.de:entitlement:ub_tan UB-Nutzergruppe mit TAN-Verfahren für Fernleihe urn:mace:dir:entitlement:common-lib-terms Zulassung zu lizenzpflichtigen Diensten gemäß den Standardbedingungen für Lizenzverträge urn:mace:ub.uni-freiburg.de:entitlement:unihd:redi:ma Zulassung zu bestimmten Diensten von https://www-fr.redi-bw.de/ 2. URL-type-entitlements http://bwidm.de/entitlement/bwForCluster Berechtigung zur Nutzung des Dienstes: https://www.urz.uni-heidelberg.de/de/bwforcluster http://bwidm.de/entitlement/bwLSDF-SyncShare Berechtigung zur Nutzung des Dienstes : https://www.alwr-bw.de/kooperationen/bwsync-share/ Für Nutzer:innen der Uni Heidelberg wird die Berechtigung automatisch erteilt, sofern die member-Zugehörigkeit erfüllt ist. http://bwidm.de/entitlement/bwLSDF-FileService Berechtigung zur Nutzung des Dienstes: https://www.bwhpc-c5.de/wiki/index.php/BwFileStorage http://bwidm.de/entitlement/bwUniCluster Berechtigung zur Nutzung des Dienstes: https://www.urz.uni-heidelberg.de/de/bwunicluster http://bwidm.de/entitlement/sds-hd-sv Berechtigung, um im Rahmen des Dienstes: https://www.urz.uni-heidelberg.de/de/sds-hd ein Speichervorhaben neu beantragen zu können. Voraussetzung ist der Status als Mitarbeiter:in. http://bwidm.de/entitlement/sds-hd-user Berechtigung, um im https://www.urz.uni-heidelberg.de/de/sds-hd ein Speichervorhaben mitnutzen zu können

weiterführende Informationen

weitere Informationen

Informationen des bwIDM

bwIDM - föderiertes Identitätsmanagement auf Landesebene.

Information

DFN-AAI Metadata Viewer

Übersicht: Wer nutzt welche Daten?

English

Kontakt