Shibboleth
Funktionsweise
Quelle: https://www.switch.ch/aai/demo/mediumBeteiligte
- Benutzer oder Benutzerin/Browser
- Service Provider (SP), z.B. Verlag
- Lokalisierungsdienst, Discovery Service (WAYF: "Where Are You From")
- Identity Provider (IdP)
Ablauf
- Ein Benutzer versucht, auf eine geschützte Web-Ressource zuzugreifen. Für die Entscheidung, ob er Zugriff erhält, sind weitere Informationen erforderlich.
- Der SP verweist den Browser des Benutzers auf eine Auswahlseite, die alle IdPs listet, deren Benutzer Zugriff auf die Web-Ressource erhalten können.
- - 5. Der Benutzer wählt seinen IdP und wird an ihn weiter verwiesen.
- Der Benutzer authentifiziert sich über die Web-Login-Seite seines IdP. Attribute für den SP werden nach Filterregeln zusammengestellt („Assertion“). Die Zustimmung des Benutzers zur Weitergabe der Attribute an den SP wird eingeholt.
- Der IdP verweist den Browser an den SP zurück, überträgt die Bestätigung, dass der Benutzer sich authentifiziert hat, und zusätzliche Attribute. Aufgrund von Attributen und Zugriffsrichtlinien entscheidet der SP, ob der Benutzer Zugriff erhält und übermittelt eine entsprechende Antwort an den Browser.