(LDAP und) Shibboleth

Bezeichnungen, Spezifikationen

• LDAP: Lightweight Directory Access Protocol

  https://tools.ietf.org/html/rfc4510

• Shibboleth: web single sign-on across or within organizational boundaries.

  https://wiki.shibboleth.net/confluence/display/DEV/Technical+Specifications

Welches Problem wird gelöst?

• eine (zentrale)
  • Identitäts- und Attribut-Verwaltung (Name, Status)
  • und Authentifzierung (Passwortprüfung)
• für mehrere (evtl. dezentrale) Dienste (Bsp. Web-Portale HTWK, IMN, BPS)

Was ist der wesentliche Unterschied?

• LDAP: Dienst sieht Benutzer-Namen und -Passwort
• Shibboleth: Dienst sieht Benutzerpasswort nicht (und Namen nicht unbedingt)

PW wird bei LDAP und Shibboleth sicher übertragen.

Wie funktioniert Shibboleth?

1. Benutzer ruft Dienst (SP, Serviceprovider) auf und wählt dort IdP (Identitätsprovider) (oder dieser ist fest eingestellt)

   Bsp: https://autotool.imn.htwk-leipzig.de/shib/cgi-bin/Super.cgi )

2. Benutzer authentifiziert sich gegenüber IdP

   Bsp: https://shib1.rz.htwk-leipzig.de/idp/profile/SAML2/Redirect/SSO?execution=e2s1

3. Benutzer wird vom IdP über (vom SP beim IdP) angeforderte Attribute informiert.

4. IdP benachrichtigt SP über Erfolg der Authentifizierung und übermittelt angeforderte und freigegebene Attribute

5. Benutzer kann tatsächlich übermittelte Attribute einsehen

   Bsp: https://autotool.imn.htwk-leipzig.de/Shibboleth.sso/Session)

Shibboleth ist technisch realisiert als Apache-Modul.

Warum soll der Dienstanbieter das PW niemals sehen?

• das schließt eine ganze Klasse von Fehlern auf Dienstanbieterseite aus:
  • Softwarefehler (eigener und fremder Code, vielleicht sogar in PHP)
  • Bedienfehler (falsche Einstellungen in Konfigurationsdateien)
  • Betriebsfehler (unbefugter Zugriff auf Festplatte, Datenbank)
• das dient auch der Absicherung der Dienstverantwortlichen

(wenn dochmal ein PW bekannt wird, dann kann es nicht an ihnen liegen)

Warum sind Benutzerpaßwörter kritisch?

• “meine Daten sind nicht interessant, die muß ich nicht verstecken”

  … widerspricht Grundrecht auf Schutz personenbezogener Daten

• “an meinen Daten entsteht auch kein großer Schaden”

  … aber ein Angreifer kann in Ihrem Namen großen Schaden anrichten

  z.B. Ruf-Schaden, Emails mit Ihrem Absender, Portal-Einträge mit Ihrer Unterschrift

Weiter nützliche Eigenschaft von Shibboleth

• je nach Dienst und Anwendungsfall passende Attributmenge

  entspricht Grundsatz der Datensparsamkeit

  (Verarbeitung personenbezogener Daten durch öffentliche Stellen nur in erforderlichem Umfang erlaubt - alles weitere verboten) SächsDSG Abschn. 2 Par 12 (1)

• Bsp: zum Zugriff auf Lehrmaterialien ist Identität des Studierenden normalerweise nicht erforderlich,

  Zugehörigkeit zu einer bestimmten Gruppe (Hochschule, Fakultät, Studiengang, Studienjahr, Seminargruppe) reicht aus.

• Bsp: für E-Learning-System: Online-Übungsaufgaben zur Prüfungszulassung

  ist Verabeitung von Name, Vorname, Matrikelnummer erforderlich, denn diese Daten werden auch zur Prüfung verarbeitet.

Anforderungen des Datenschutzes

(dezentrale) Dienste, die personenbezogene Daten verarbeiten (egal, ob über LDAP oder Shibboleth),

müssen im Verzeichnis automatisierte Vererbeitungsverfahren gemeldet werden http://www.imn.htwk-leipzig.de/~waldmann/datenschutz/verfahrensverzeichnis/

oder in geeigneten Anhängen zum IdP-Eintrag. Siehe http://www.htwk-leipzig.de/fileadmin/kanzler/Ordnungen_der_Hochschule/Ordnung_zum_Betrieb_des_IDM_06.01.2015.pdf