Shibboleth für eigene Webanwendungen

Um in einer eigenen Webanwendung Shibboleth-Authentifizierung zu nutzen, muss zusätzlich eine Shibboleth-Software installiert werden, die den sog. shibd (Shibboleth Daemon) enthält, außer die Anwendung unterstützt nativ Shibboleth/SAML-Authentifizierung. Siehe hierzu die Anleitung der DFN-AAI:

  https://wiki.aai.dfn.de/de:shibsp

Shibboleth für Anwendungen der LMU, TUM und BAdW

Damit die Identity Provider dem neuen Service Provider vertrauen, müssen dessen Metadaten

  • in die lokale AAI-Föderation der Heimateinrichtung
  • oder in die deutschlandweite DFN-AAI-Föderation aufgenommen werden.

Die Metadaten enthalten u.a. das Zertifikat des SPs, die URLs für die Service Endpoints als Schnittstellen zwischen IdP und SP, sowie Kontaktinformationen.

Aufnahme in die AAI-Föderation von TUM-SPs

Für die Aufnahme Ihres SPs an der TUM in eine Föderation schreiben Sie bitte an den TUM IT-Support gemäß der TUM-Doku:

  Zugang erhalten (SSO)

Aufnahme in die AAI-Födereration von LMU- und LRZ-SPs

Für die Aufnahme Ihres SPs in eine Föderation geben Sie bitte an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung")  folgende Informationen:

  • Organisatorisches
    • Shibboleth EntityID wie im SP konfiguriert (z.B. "https://abstimmung.semesterticket-muenchen.de/shibboleth")
    • Anzeigename des Webdiensts (z.B. "Abstimmung über das Semesterticket in München",  "TUM Mathematischer Kalender", "LMUcast für iTunesU"), deutsch und englisch
    • Kurzbeschreibung des Webdienstes (1-2 Zeilen), deutsch und englisch
    • URL zur Informationsseite/Website der Einrichtung, Institution oder Firma, deutsch und englisch
    • URL zur Datenschutzerklärung (Privacy Statement) für Ihren Webdienst, deutsch und englisch
    • URL zu einem Logo des Webdienstes, 64 bis 240 Pixel breit und 48 bis 180 Pixel hoch, transparenter Hintergrund (wenn möglich)
    • Helpdesk-URL- und Mailadresse (z.B. "TUM IT-Support", "LMU IT-Servicedesk")
    • Name und Mailadresse je einer Kontaktperson(en) für
      1. die technische Administration des SPs,
      2. für den Support des Webdienstes und
      3. für Security-Fälle
    • Angabe des Benutzerkreises:
      • Personen der eigenen Uni?
        - oder auch Benutzende anderer Einrichtungen?
      • Personen mit genauer geprüfter Identität (Beschäftigte mit Arbeitsvertrag, immatrikulierte Studierende)?
        - oder auch Bewerber:innen, Gäste, Kooperationspartner:innen etc. mit einem gültigen Account?
  • Technik
    • URL, von dem die Shibboleth-Metadaten des SPs abgerufen werden können.
      Dieser URL hat typischerweise die Form
      "https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/Metadata"
      und ist durch die Installation der Shibboleth SP-Software auf Ihrem Webdienst verfügbar.
      -- ODER --
    • Server-Zertifikat des Webdienstes und
      Service-Endpoints: Art und URL der vom SP unterstützten Shibboleth NameID- und Assertion-Consumer- und ggf. Single-Logout-Services, z.B.
       urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
       → "https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/SAML2/POST"

  • Datenschutz
    • Mitteilung, dass der Webdienst auf einem TUM/LMU/BAdW-System betrieben wird und nur anonyme Daten zum Login und zur Zuordnung evtl. vorhandener Profile verwendet (die sog. eduPersonTargetedID).
      - ODER -
    • Die Liste der Attribute (personenbezogene Daten), die der Webdienst vom IdP anfordert und die im  TUM/LMU/BAdW-IdP für ihren Webdienst freigeben werden sollen,
      (personenbezogen sind u.a. Benutzerkennung/LRZ-Kennung, Name, Mail-Adresse, Einrichtungszugehörigkeit/Affiliation, Geschlecht);
      sowie die Mitteilung, dass für den Webdienst ein Eintrag im Verzeichnis der Verarbeitungstätigkeiten gemäß § 30 Datenschutz-Grundverordnung (DSGVO) Ihrer Organisationseinheit existiert und dieser Eintrag die Verarbeitung dieser Attribute abdeckt.
      Eine Liste der von den IdPs verfügbaren Attribute finden Sie hier:

Serverzertifikat

Für die SAML-Kommunikation mit den IdPs der AAI-Föderation(en) braucht Ihr SP ein Zertifikat. Welche Zertifikate dazu geeignet sind, ist beschrieben auf

https://doku.tid.dfn.de/de:certificates

Sie können dazu das Zertifikat verwenden, das Sie für den Webserver selbst haben, oder auch ein extra Zertifikat für die SAML-Kommunikation.

→ NEU 2022: Es sind auch selbst signierte Zertifikate mit einer max. Gültigkeit von 39 Monaten zugelassen.

Lokale PKIs/Registration Authorities (RA), bei denen Sie ein Zertifikat bekommen können, sind

Idealerweise sollte das Zertifikat das Client-Auth-Flag beinhalten, also nicht als Webserver-, sondern als Shibboleth-IdP/SP-Zertifikat beantragt werden, siehe z.B. http://www.lrz.de/services/pki/wieman/

Nach Aufnahme Ihres SPs in die gewünschte Föderation (Nachricht vom Servicedesk) tragen Sie in shibboleth2.xml als MetadataProvider im Attribut "uri" ein:

Zertifikatstausch

Bevor das Serverzertifikat für die SAML-Kommunikation abläuft, muss es in der SP-Konfiguration und zeitlich koordiniert auch in der AAI-Föderation ausgetauscht werden. Die AAI-Föderation ruft neue Zertifikate nicht automatisch von den Metadaten-URLs der SPs ab. Vielmehr müssen Sie vorab das neue Zertifikat an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung") schicken. Der Zertifikatswechsel kann dann unterbrechungsfrei erfolgen wie beschrieben auf

https://doku.tid.dfn.de/de:certificates#zertifikatstausch

Shibboleth für Anwendungen anderer Einrichtungen

Für die Shibboleth-Anbindung von Webdiensten, die an anderen Einrichtungen als an TUM, LMU oder BAdW betrieben werden, wenden Sie sich bitte an den jeweiligen Ansprechpartner gemäß der Liste

https://tools.aai.dfn.de/entities/

Sollte Ihre Einrichtung dort nicht aufgeführt sein, muss sie zunächst mit dem DFN-Verein einen Vertrag zur DFN-AAI schließen, ggf. auch einen ersten DFN-Rahmenvertrag.