Shibboleth ist die im Hochschul- und Forschungsumfeld weit verbreitete Technik, die als Authentifikations- und Autorisierungs-Infrastruktur (AAI) für Webanwendungen dient. Dabei kann ein Benutzer mit seiner lokalen Kennung auch auf Dienste anderer Hochschulen und Anbieter zugreifen, z.B. E-Learning-Angebote, Bibliotheken oder Softwareanbieter.

Shibboleth is the technology widely used in higher education and research environments that serves as an authentication and authorisation infrastructure (AAI) for web applications. In this process, a user can also access services of other universities and providers with his or her local identifier, e.g. e-learning offerings, libraries or software providers.

Die Software Shibboleth bildet die technische Basis, die Besitzern von aktiven LRZ-, TUM- und LMU-Kennungen ein ständig wachsendes Dienstangebot im Web eröffnet, siehe Verzeichnis der Service Provider in der DFN-AAI

Als Benutzer bzw. als Webadministrator finden Sie weitere Infos in den folgenden Abschnitten:

The  Shibboleth software forms the technical basis that opens up a constantly growing range of services on the web to owners of active LRZ, TUM and LMU accountss, see the directory of service providers in the DFN-AAI.

As a user or as a web administrator, you will find further information in the following sections:

Merkmale und Eigenschaften von Shibboleth

• Verteilte Authentifikation und Autorisierung: Die lokale Kennung kann zum Login sowohl für lokale Dienste als auch für Angebote anderer Einrichtungen verwendet werden (Föderiertes Identitätsmanagement, FIM).
• Webanwendungen: Shibboleth ist in erster Linie für Webanwendungen einsetzbar. Neben Hochschulangeboten (Portale, Wikis, Learning-Systeme etc.) nutzen auch kommerzielle Anbieter Shibboleth (z.B. Online-Verlagsangebote, Softwarevertrieb). Mit dem ECP-Protokoll ist jedoch die Anmeldung an eigenständigen Applikationen (z.B. beim LRZ Sync+Share) möglich.
• Single-Sign-On: Mit einer einzigen Anmeldung sind verschiedene Dienste und Anwendungen nutzbar, auch bei anderen Einrichtungen.
• Datenschutz: Der/die Benutzer:in kann seine/ihre persönlichen Daten, die an einen Dienstanbieter geschickt werden, vorab einsehen und die Übermittlung und Dienstnutzung ggf. abbrechen.
• Föderation: Verteilte Authentifikation erfordert ein noch höheres Maß an Sicherheit, Vertraulichkeit und Verlässlichkeit der Systeme als eine einrichtungslokale Lösung. In Deutschland sind deshalb Hochschulen und Forschungseinrichtungen in der DFN-AAI-Föderation zusammengeschlossen. Der DFN organisiert und überwacht die technischen wie auch die vertragsrechtlichen Voraussetzungen der Partner.

Features and Properties of Shibboleth

• Distributed authentication and authorisation: The local account can be used to log in to local services as well as to services offered by other institutions (federated identity management, FIM).
• Web applications: Shibboleth can primarily be used for web applications. In addition to university offerings (portals, wikis, learning systems, etc.), commercial providers also use Shibboleth (e.g. online publishing offerings, software distribution). However, with the ECP protocol, it is possible to log on to stand-alone applicationss (e.g. at LRZ Sync+Share).
• Single sign-on: With a single login, various services and applications can be used, even at other institutions.
  Data protection: The user can view his personal data sent to a service provider in advance and cancel the transmission and service use if necessary.
• Federation: Distributed authentication requires an even higher level of security, confidentiality and reliability of the systems than an institution-local solution. In Germany, universities and research institutions are therefore united in the DFN-AAI Federation. DFN organises and monitors the technical as well as the contractual requirements of the partners.

Technik von Shibboleth

Shibboleth umfasst sogenannte Identity Provider (IdP) und Service Provider (SP). Identity Provider sorgen für die Authentifikation von Benutzern der lokalen Einrichtung. Mitteilungen über die erfolgte Authentifikation (Identitiätskontrolle, Login) und relevante Informationen für die Autorisierung (Zugangsberechtigung) gelangen über das SAML (Security Assertion Markup Language) zum Service Provider, auf dessen Seite die Webanwendung läuft. Möchte ein:e Benutzer:in eine solche Anwendung betreten, wird er oder sie i.d.R. zu einem WAYF-Service ("where are you from") geleitet, wo er oder sie seine Heimatorganisation auswählt und zu dieser weitergeleitet wird. Das Login erfolgt also ausschließlich an der Login-Maske der Heimatorganisation (des lokalen IdP), was gegenüber herkömmlichen Logins an jeder einzelnen Webanwendung einen großer Sicherheitsfortschritt darstellt: Passwörter gelangen nicht mehr zu den Webanwendungen und den dahinter laufenden fremden Systemen. Eine gründliche Einführung in Konzept und Technik von Shibboleth bietet das Shibboleth-Wiki https://wiki.shibboleth.net/confluence/display/CONCEPT/Home.

Shibboleth technology

Shibboleth comprises so-called Identity Providers (IdP) and Service Providers (SP). Identity providers are responsible for the authentication of users of the local institution. Messages about authentication (identity control, login) and relevant information for authorisation (access control) are sent via SAML (Security Assertion Markup Language) to the service provider on whose side the web application is running. If a user wants to enter such an application, he or she is usually directed to a WAYF service ("where are you from"), where he or she selects his or her home organisation and is redirected to it. The login is therefore carried out exclusively at the login mask of the home organisation (the local IdP), which represents a major security advance compared to conventional logins at each individual web application: Passwords no longer reach the web applications and the foreign systems running behind them. A thorough introduction to the concept and technology of Shibboleth is provided by the Shibboleth Wiki https://wiki.shibboleth.net/confluence/display/CONCEPT/Home.

Am LRZ betriebene Identity Provider für TUM, LMU und BAdW

Das LRZ betreibt die Identity Provider der TUM, der LMU und der BAdW. Identitäten sind alle aktiven Kennungen aus dem TUM- , dem LMU- bzw. dem LRZ-Verzeichnisdienst.

Um den vollen Berechtigungsumfang (Autorisierung als immatrikulierter Student, aktiver Mitarbeiter etc.) in den Anwendungen zu erhalten, sollten Benutzer von TUM- bzw. LMU beachten:

Identity Providers for TUM, LMU and BAdW at LRZ

The LRZ operates the identity providers of TUM, LMU and BAdW. Identities are all active accounts from the TUM, LMU or LRZ directory services.

In order to obtain the full scope of authorisation (as an enrolled student, active employee, etc.) in the applications, users from TUM or LMU should note: