Shibboleth

Funktionsweise

Quelle: https://www.switch.ch/aai/demo/medium

Beteiligte

  • Benutzer oder Benutzerin/Browser
  • Service Provider (SP), z.B. Verlag
  • Lokalisierungsdienst, Discovery Service (WAYF: "Where Are You From")
  • Identity Provider (IdP)

Shibboleth

Ablauf

  1. Ein Benutzer versucht, auf eine geschützte Web-Ressource zuzugreifen. Für die Entscheidung, ob er Zugriff erhält, sind weitere Informationen erforderlich.
  2. Der SP verweist den Browser des Benutzers auf eine Auswahlseite, die alle IdPs listet, deren Benutzer Zugriff auf die Web-Ressource erhalten können.
  3. - 5. Der Benutzer wählt seinen IdP und wird an ihn weiter verwiesen.
  4. Der Benutzer authentifiziert sich über die Web-Login-Seite seines IdP. Attribute für den SP werden nach Filterregeln zusammengestellt („Assertion“). Die Zustimmung des Benutzers zur Weitergabe der Attribute an den SP wird eingeholt.
  5. Der IdP verweist den Browser an den SP zurück, überträgt die Bestätigung, dass der Benutzer sich authentifiziert hat, und zusätzliche Attribute. Aufgrund von Attributen und Zugriffsrichtlinien entscheidet der SP, ob der Benutzer Zugriff erhält und übermittelt eine entsprechende Antwort an den Browser.
Die Auswahl des IdP im Lokalisierungsdienst kann gemerkt werden, die Authntifizierung ist nur einmalig je Sitzung erforderlich, die Zustimmung zur Weitergabe von Attributen nur nach deren Änderung, so dass das Anmeldeverfahren häufig deutlich einfacher abläuft.

Weiterführende Links