Authentifizierung einer Anwendung
 Studierende |
Beschäftigte |
 Einrichtungen |
stud. Gruppen |
|---|
Das Rechenzentrum bietet über das Identitätsmanagement und die angeschlossenen Verzeichnisdienste (Active Directory und OpenLDAP) die Authentifizierung von Anwendungen an. Einrichtungen, die den Zugang zu eigenen Anwendungen auf bestimmte Personengruppen einschränken möchten, können die nachfolgend skizzierten Authentifizierungs- und Autorisierungsmöglichkeiten von CIM nutzen.
Authentifizierungs- und Autorisierungsmöglichkeiten
Allgemeine Authentifizierungen
- Active Directory
- OpenLDAP
Spezifische (dienstgebundene) Authentifizierungen
- Active Directory → dienstspezifische Gruppenzugehörigkeit
- OpenLDAP → dienstspezifische Struktur
- Eventhandling → Änderungs-Events abrufen (Webservice: XML, JSON)
- Allgemein über IDP → eduPersonAffiliation: „member“, „student“, „employee“
- Dienstgebunden (SSO-Dienste) → eduPersonEntitlement: <dienstspezifischer Wert>
Allgemeine Authentifizierungen
Die einfachste Form stellt eine allgemeine Authentifizierung über die Verzeichnisdienste Active Directory oder OpenLDAP dar.
Zielgruppe: Für alle, die eine Anwendung mit einem Passwortschutz unspezifisch für alle CAU-Personengruppen versehen wollen (anwendungsseitig kann zusätzlich gefiltert werden).
Funktionsweise: Einrichtungen können auf Antrag einen administrativen Zugang zu Verzeichnisdienst-Ressourcen bekommen, durch den die Anbindung einer Anwendung an einen Verzeichnisdienst realisiert werden kann.
Spezifische (dienstgebundene) Authentifizierungen
Zielgruppe: Für alle, die einer spezifischen Personengruppe Zugang zu einer geschützten Anwendung gewähren wollen.
Funktionsweise: Hierzu wird CIM-seitig ein Dienst für die jeweiligen Zielsysteme (Active Directory, OpenLDAP oder Eventhandling) definiert und eine Filterregel für die zur Nutzung berechtigte Personengruppe dieses Dienstes (z.B. alle Beschäftigten einer Einrichtung) hinterlegt (Beratung und Beantragung).
- Active Directory: Spezifische Personengruppen werden durch Gruppenzugehörigkeiten abgebildet. Verfügbar sind z.B. Studierendengruppen nach Fakultäts- und Studiengang-Zugehörigkeit und CAU-Beschäftigte nach Einrichtungs-Zugehörigkeit.
- OpenLDAP: Spezifische Personengruppen werden in eigenen dienstspezifischen Strukturen abgebildet. Darüberhinaus kann festgelegt werden, welche Attribute zur Verfügung gestellt werden.
- Eventhandling: Für Anwendungen, die nicht über einen Verzeichnisdienst angebunden werden können. Über Webservice-Abfragen an den CIM-Eventhandler sind dienstspezifische Informationen (Events) abrufbar. Also, ob eine neue nutzungsberechtigte Person dazugekommen ist, ob sich Personendaten geändert haben, oder ob eine Person bzw. Berechtigung gelöscht wurde.
Single-Sign-on (Shibboleth)
Eine wichtige Authentifizierungs-Möglichkeit bietet Shibboleth für die Anbindung von Webanwendungen (Siehe auch Funktionsweise Single Sign-on/Shibboleth). Hierzu muss die jeweilige Webanwendung als Serviceprovider eingerichtet sein, also Shibboleth unterstützen.
Allgemein über CAU-Identitätsprovider (IDP): Eine allgemeine Authentifizierung für alle CAU-Mitglieder, alternativ auch eingeschränkt auf Studierende oder Beschäftigte (Attribut eduPersonAffiliation: „member“, „student“, „employee“)
Dienstgebunden über einen Single Sign-on Dienst (SSO-Dienst): Für eine spezifische Personengruppe kann ein SSO-Dienst definiert werden, dessen Mitglieder wiederum durch eine hinterlegte Filterregel definiert ist (z.B. Attribut eduPersonEntitlement: <dienstspezifischer Wert>).
Beratung und Beantragung
Die verantwortlichen Dienstbetreuer stehen für Beratungen zur Verfügung, insbesondere bei der Frage, welche Authentifizierungsmöglichkeit im Einzelfall am Geeignetsten ist.
Vor der Nutzung eines zentralen RZ-Verzeichnisdienstes muss eine Verfahrensbeschreibung zur Nutzung eines zentralen RZ-Verzeichnisdienstes (Form24) ausgefertigt und freigegeben werden.
Vor der Nutzung eines CAU-Identitätsproviders (Single Sign-on/Shibboleth) muss eine Verfahrensbeschreibung zur Nutzung des CAU-Identitätsproviders durch einen Serviceprovider (Form25) ausgefertigt und freigegeben werden.
Kontakt: idmadmin@rz.uni-kiel.de
Verantwortliche
Diese Liste der verantwortlichen Dienstbetreuer wird automatisch generiert.