WebSSO – Zentraler Anmeldedienst der FAU

Um viele universitäre Dienste nutzen zu können, müssen sich FAU-Angehörige seit mittlerweile acht Jahren nur noch einmal über WebSSO, den zentralen Anmeldedienst der FAU, anmelden. Weitere Anmeldevorgänge bei den unterschiedlichen Diensten und Applikationen erfordern danach keine weiteren Interaktionen mit dem Benutzer mehr. Eine neue Infrastruktur macht den Dienst nun noch ausfallsicherer und die Nutzung der bestehenden IdM-Infrastruktur reduziert Administrationsaufwand und lastet die vorhandene Hardware besser aus.

EintrittskarteWie der Name Web-Single-Sign-On (kurz WebSSO) schon andeutet, findet die Authentifizierung von Nutzern nur einmal an einer Stelle zentral  statt. Möchte ein Nutzer auf einen Dienst (Service Provider, kurz SP) zugreifen, leitet ihn dieser an den Identity Provider (kurz IdP) der Heimatorganisation um; bei nicht lokalen Diensten findet die Weiterleitung über einen sogenannten Lokalisierungsdienst statt. Dort findet die eigentliche Authentifizierung (Login mit IdM-Kennung und Passwort) statt.

Nach erfolgreicher Anmeldung leitet der IdP den Nutzer zurück an den SP: im „Gepäck“ sogenannte Zusicherungen über den Nutzer, ausgestellt durch den IdP. Diese Zusicherungen können persönliche Daten wie z. B. Vorname, Nachname und E-Mail-Adresse sein, aber auch Aussagen über die Art der Zugehörigkeit zur Heimatorganisation (z. B. Studierender oder Mitarbeiter). Durch die vorab aufgebaute Vertrauensstellung übernimmt der SP diese Daten und gestattet die Nutzung des Dienstes.

Der größte Nutzen und Sicherheitsfortschritt ist die nicht stattfindende Passwortübermittlung an den Diensteanbieter. Die Login-Daten des Nutzers bleiben bei dem IdP der Heimatorganisation. Quasi als „Abfallprodukt“ kommt die einmalige Anmeldung innerhalb einer Sitzung hinzu. Bei der ersten Anmeldung am IdP erhält der Nutzer eine Sitzung am IdP. Meldet sich der Nutzer nun an einem weiteren Dienst an, wird er dort erneut zum IdP umgeleitet. Die dort vorhandene Sitzung macht eine erneute Anmeldung überflüssig; der IdP kann den Nutzer direkt zum SP weiterleiten und der Nutzer erhält Zugriff auf den Dienst.

Neben dem Sicherheitsgewinn und dem erhöhten Komfort (einmaliger Login) bietet WebSSO auch dem Diensteanbieter Vorteile. Ist der Dienst ausschließlich mittels WebSSO erreichbar, entfällt die Passwortverwaltung beim SP (inkl. Support bei vergessenem Passwort usw.).

DatenschutzbeauftragterGrundsätzlich ist beim IdP  der FAU das sogenannte „Consent-Modul“ aktiviert. D. h. der Nutzer kann seine persönlichen Daten, die an einen Dienstanbieter übermittelt werden, vorab einsehen und die Übermittlung (damit natürlich auch die Nutzung des Dienstes) ggf. abbrechen. Dieser Dialog erscheint bei jeder Anmeldung an einem Dienst, mit folgenden Ausnahmen:

  1. der Benutzer hat bei einem früheren Besuch der „Zustimmung merken“-Funktion zugestimmt
  2. es handelt sich um einen FAU-lokalen Diensteanbieter, dessen Verfahrensbeschreibung der Datenschutzfreigabe
    die Übermittlung der Daten explizit enthält (z. B. „mein campus“)

Im Falle von 1. wird die „Zustimmung merken“ bei Änderungen an den zu übermittelnden Daten (neue Attribute und/ oder neue Werte) zurückgesetzt, d. h. der Dialog wird erneut angezeigt.

Zeitplan

14.10.2009 Inbetriebnahme des zentralen Anmeldedienstes der FAU
11.08.2010 Beitritt der FAU in die DFN-AAI-Föderation
09.09.2010 Registrierung für Studierende der FAU-VHB (Virtuelle Hochschule Bayern) mittels WebSSO
29.08.2013 Beitritt der FAU in die eduGAIN-Interföderation