Kurzer Systemcheck: Einmal anmelden, alles nutzen

Das Regionale Rechenzentrum Erlangen bietet Mitgliedern der Friedrich-Alexander-Universität (FAU) einen leichten Zugang zu zahlreichen Webanwendungen, wie FAUbox, campo oder Content-Management-Systemen. Im Interview erklärt Frank Tröger wie das genau funktioniert. Er ist Mitarbeiter in der Abteilung Entwicklung, Integration, Verfahren und für WebSSO verantwortlich.

Was genau ist WebSSO?

Frank Tröger: Es gibt verschiedene Mechanismen, um sich bei einer Webanwendung anzumelden, WebSSO ist eine davon. WebSSO steht für Web Single Sign-On – also das einmalige Anmelden an einer zentralen Stelle. Möchte ich einen Dienst nutzen, muss ich mich zuvor am sogenannten Identity Provider (kurz IdP) anmelden. Danach erfolgt der Zugriff auf den Dienst und alle weiteren Dienste ohne eine erneute Passwortabfrage. Das funktioniert nicht nur mit den Anwendungen an der FAU, sondern auch mit vielen Anwendungen anderer Hochschulen und Organisationen. Als Mitglied der Föderation Authentifizierungs- und Autorisierungs-Infrastruktur des DFN-Vereins, kurz DFN-AAI, ermöglichen wir unseren Nutzern Zugriff zum Beispiel auf Fachpublikationen oder GigaMove (ein Dienst zum Austauschen von großen Datenmengen). Und dann gibt es noch die Interföderation eduGAIN. Damit hat man dann Zugriff auf weltweite Föderationen aus Wissenschaft, Bildung und Forschung.

Was merken die Nutzenden davon?

Nutzer werden beim ersten Zugriff auf eine durch WebSSO geschützte Anwendung automatisch zum IdP weitergeleitet. Dort, und nur dort, erfolgt die Eingabe von Benutzername und Passwort. Nach erfolgreicher Anmeldung, werden die zu übermittelnden Daten dem Nutzer angezeigt (Anmerkung: bei manchen FAU-internen Diensten ist dieses sog. Consent-Modul deaktiviert). Danach erfolgt die automatische Weiterleitung zurück zur Anwendung und der Nutzer ist angemeldet. Bei Zugriffen auf weitere Dienste in der gleichen Browser-Session entfällt eine erneute Anmeldung am IdP.
Die zu übermittelnden Attribute werden für jeden sogenannten Service Provider im Sinne der Datensparsamkeit einzeln festgelegt, das heißt falls eine Anwendung nur wissen muss, dass es sich bei dem Nutzer um ein Mitglied der FAU handelt, wird auch nur diese Information übermittelt.

Und welchen Vorteil bietet das den Einrichtungen?

Der große Vorteil für angeschlossene Webanwendungen ist die nicht mehr notwendige Verwaltung der Benutzer. Zum Beispiel ist die Anlage und Aktualisierung von Accounts im günstigsten Fall nicht mehr notwendig und Fälle von „Passwort vergessen“ gibt es einfach nicht mehr. Ganz zu schweigen von dem verfügbaren großen Nutzerkreis: Ob ich einen Dienst für ein Dutzend Personen oder für alle aktiven 50.000 Mitglieder der FAU anbiete, der Aufwand für die Authentifizierung ist gleich.
Und falls eine Anwendung doch mal etwas komplexer angebunden werden müsste, ist das ein Fall für das Identity Management – kurz IdM – der FAU. Aber dazu mehr in einem weiteren Interview.

Vielen Dank für das Gespräch!

Weitere Informationen über…
…den Zentralen Anmeldedienst der FAU
WebSSO
…den Anschluss eigener Webanwendungen an WebSSO


Text: Das Gespräch führte Corinna Russow