Shibboleth ist ein webbasiertes Softwaretool, das Single Sign-On (SSO) zwischen zwei Anwendungen oder zwischen zwei Organisationen unterstützt. Es ist ein Open-Source-Tool und wird hauptsächlich verwendet für Single Sign-On (SSO) mit SAML Protokoll. SSO kann nicht mit Protokollen wie OAuth oder OpenID Connect implementiert werden.
Es unterstützt Sites dabei, fundierte Autorisierungsentscheidungen für den Zugriff auf geschützte Ressourcen zu treffen und bietet eine föderierte, identitätsbasierte Authentifizierung und Autorisierung, die domänenübergreifendes Single Sign-On (SSO) ermöglicht und die Notwendigkeit von Zugangsdaten überflüssig macht.
Das webbasierte Single Sign-On (SSO)-System von Shibboleth umfasst drei Komponenten:
- Identitätsanbieter (IDP) – Ein Identitätsanbieter (IDP) erstellt, pflegt und verwaltet Benutzeridentitäten und -informationen. Identitätsanbieter sind für die Benutzerauthentifizierung und die Bereitstellung der erforderlichen Benutzerinformationen für den Dienstanbieter (SP) verantwortlich.
- Dienstleister (SP) – Der Dienstanbieter (SP) erhält Authentifizierungsbestätigungen vom Identitätsanbieter und authentifiziert den Benutzer.
- Suchdienst (DS) – Es hilft dem Dienstanbieter, den Identitätsanbieter des Benutzers zu ermitteln. Es kann sich überall im Web befinden und erfordert dies meistens nicht.
Shibboleth SSO-Workflow
Das folgende Diagramm zeigt den allgemeinen Workflow von Single Sign-On (SSO) und die Interaktion zwischen Benutzer, Identitätsanbieter (IDP) und Dienstanbieter (SP).
Shibboleth-SSO-Flow mit miniOrange IDP
Der Authentifizierungsprozess mittels Identity Provider (IDP) erfolgt in folgenden Schritten:
- Der Benutzer wendet sich an einen Dienstanbieter (Website), um auf die Ressourcen zuzugreifen.
- Der Service-Provider ermittelt die Identitätsanbieter (IDP) mit Hilfe des MiniOrange-Erkennungsdienstes und authentifiziert den Benutzer beim Identity Provider (IDP).
- Der Identitätsanbieter prüft, ob eine aktive Sitzung stattfindet. Wenn nicht, fordert er den Benutzer zur Eingabe der Anmeldeinformationen auf und die Authentifizierungsanforderung wird an den IDP gesendet.
- Der Identitätsanbieter (IDP) sendet eine Authentifizierungsantwort an den Dienstanbieter (SP).
- Nach der Authentifizierung des Benutzers beim Identity Provider (IDP) gewährt der Service Provider (SP) dem Benutzer Zugriff.
Authentifizieren Sie IDPs ohne externe Software
Mit dem miniOrange SAML-Plugin können Sie mehrere bei der HAKA Federation registrierte IDPs konfigurieren. Dadurch können sich Benutzer bei diesen IDPs authentifizieren, ohne dass eine externe Softwareinstallation wie Shibboleth SP oder Gluu-Server erforderlich ist. Erhalten Sie alle Ihre Benutzerdaten und entscheiden Sie sich bei Bedarf für die automatische Bereitstellung von Benutzern – alles mit einer einzigen Installation eines Plugins.
Vorteile der Verwendung von miniOrange SSO mit HAKA Federation
- Einfache Integration. Wenn Ihre Site Benutzer von verschiedenen Universitäten hat und Sie möchten, dass diese sich mit ihrem Universitätskonto über HAKA authentifizieren, können Sie das mit diesem Plugin tun. Beispiel: Wenn Sie eine Site mit Benutzern von verschiedenen Universitäten haben, können Sie Ihren Benutzern ermöglichen, sich mit ihrem Universitätskonto anzumelden.
- EinfacheSie müssen das Plugin nur einmal installieren und konfigurieren. Dies ist nützlich, wenn Sie Hosting-Anbieter wie WP-Engine verwenden, die die Installation externer Software auf dem Server nicht zulassen.
- Einfach. Wenn Sie den Gluu-Server oder Shibboleth installieren, sind viele Anpassungen erforderlich, damit es funktioniert, und außerdem fallen jährliche Wartungskosten für die Server an. Im Gegensatz dazu ist das Plugin einfach einzurichten und leicht zu warten.
- Kostengünstig . Die Installation des Gluu-Servers oder Shibboleth-Servers ist eine kostspielige Angelegenheit. Auch die jährliche Wartung der Server schlägt mit Kosten zu Buche. Das Plugin hingegen kostet nur einen Bruchteil davon.
- Einfach zu bedienen:. Benutzer haben die Möglichkeit, beim Login ihre Universität auszuwählen und sich mit ihren Universitätsdaten zu authentifizieren.
Einschränkungen von Shibboleth
- Unterstützt begrenzte Protokolle wie SAML.
- Da es sich um Open Source handelt, sind im Gegensatz zu anderen Anbietern, die vollständigen Support bieten, keine Support- und Anpassungsmöglichkeiten verfügbar.
- Die Einrichtung und Konfiguration ist komplexer. Die Konfiguration ist aufwändiger.
- Es unterstützt nur SAML 1 und SAML 2 und verfügt über Funktionen bis zu Shibboleth 2.4-Protokollen.
- Die Shibboleth IdP V3-Software hat das Ende ihrer Lebensdauer erreicht und wird nicht mehr unterstützt.
Shibboleth vs. miniOrange IDP
| Merkmal | Shibboleth | miniOrange IDP |
|---|---|---|
| Multiprotokoll-Unterstützung | Unterstützt nur wenige Authentifizierungsprotokolle, wie SAML1 und SAML 2 | Vollständige Unterstützung aller Protokolle zur Authentifizierung. miniOrange unterstützt SAML, SAML 2, JWT, OAuth, OpenID Connect, CAS und mehr. |
| Konfiguration und Setup | Erfordert eine komplexere Einrichtung und Konfiguration. | Einfach einzurichten und zu konfigurieren |
| Unterstützung | Da es sich um Open Source handelt, wird nur eingeschränkter Support angeboten. | miniOrange bietet aktiven Support rund um die Uhr. |
| Unterstützung mehrerer SPs und IDPs | Es erfordert eine Anpassung. | miniOrange kann als Identitätsbroker fungieren und die Authentifizierung für mehrere Apps und IDPs unterstützen. |
Fazit
Das webbasierte Open-Source-Tool unterstützt Single Sign-On (SSO) zwischen zwei Anwendungen oder Organisationen mithilfe des SAML-Protokolls und kann nicht mit anderen Protokollen wie OAuth oder OpenID Connect implementiert werden.
Der übliche Arbeitsablauf der Shibboleth-Single-Sign-On-Technologie (SSO) ist die Interaktion zwischen Benutzer, Identitätsanbieter (IDP) und Dienstanbieter (SP), wobei der SP den IDP mit Hilfe des MiniOrange-Erkennungsdienstes ermittelt.
Weiterführende Literatur
miniOrange
Autorin
Hinterlasse einen Kommentar