AAI

Wir bieten Authentifikations- und Autorisierungs- Infrastrukturdienste an, die auf dem SAML-Protokoll, bzw. Methodensammlung mit dem Namen Shibboleth basieren. Wir betreiben mehrere sog. Identitätsprovider zur Authentifizierung und Autorisierung von Studenten und Mitarbeitern. Dies soll den Zugang zu externen Web-Diensten gewährleisten.

Mitarbeiter und Studenten der UMG können von nun an den Identitäts-Provider der Georg-August Universität Göttingen benutzen.

Identitätsprovider

Derzeit betreibt die GWDG Shibboleth IdPs:

  • für Mitarbeiter von Max-Planck Instituten die am MetaDir angeschlossen sind,
  • für Studenten und Mitarbeiter der Georg-August Universität Göttingen und UMG
  • für Mitarbeiter and Kunden-Accounts der GWDG

Shibboleth ist eine web-basierte Single-Sign-On Lösung die Diensteanbieter (engl. Service Providers, abgekürzt SPs) und Identäts-Provider (IdPs) welche an beiden Enden erlaubt. Der Datenfluss von persönlichen Benutzer-Informationen (wie Login Name, EMail etc..) an die Dienste wird feingranular kontrolliert und die Vertrauensstellungen zwischen Heimateinrichtungen und Anbieter erlaubt, ohne dass neue Benutzer-Konten für jeden weiteren Web-Dienst erzeugt werden müssen. Vielmehr erlaubt die Infrastruktur eine Anonymisierung von Nutzerdaten.

Alle drei IdPs sind registriert in der DFN-AAI Föderation und EduGAIN Interföderation.

Zugängliche Web Dienste

Es folgt ein Ausschnitt von Web Diensten die über unsere IdPs erreichbar sind:

Eine ausführliche Liste von verfügbaren Diensten für Teilnehmer der DFN-AAI und eduGain Föderation ist hier verfügbar.

Neben Web-Diensten existieren auch Zugänge zum Bezug von kostengünstigen Software-Angeboten:

  • Für Studenten der Georg-August Universität: Studyhouse (asknet portal) - Miete/Kauf von Software Produkten, wie Microsoft Office 365 und Adobe Produkten zu vergünstigten Konditionen.
  • Für Mitarbeiter der GWDG und der Georg-August Universität (einschließlich UMG): Academic Center (asknet portal) - Bezug von Microsoft Office 365 für eine jährliche Gebühr von 4.99 € pro Jahr (geeignet für private Nutzung).

Authentifizierungsprozess

Hier eine kurze Übersicht über den Authentifizierungsprozess:

1. Sie schicken eine Anfrage an einen Web-Dienst, welcher mit Hilfe von SAML/Shiboleth geschützt ist.
2. Ihr Browser wird zu einer „Where Are You From?“ Seite umgeleitet. Da der Web Dienst Teil von der DFN AAI ist, wählen Sie nun ihre Heimatorganisation aus und werden dann zum dementsprechenden Identitätsprovider weitergeleitet.
  • Mitarbeiter von Max-Planck Instituten (die am MetaDir angeschlossen sind) wählen „Max-Planck“
  • Mitarbeiter und Kunden-Accounts der GWDG wählen „Gesellschaft für wissenschaftliche Datenverarbeitung mbH“
  • Studenten und MItarbeiter der Georg-August Universität Göttingen und UMG wählen „Georg-August Universität Göttingen“
3. Sie werden dann zu der Login-Seite eines IdPs ihrer Heimatinstitution weitergeleitet.
4. Falls Sie den Shibboleth IdP das erste Mal benutzen, werden Sie aufgefordert die „Nutzungsbedingunen“ zu lesen. Um fortzufahren ist es notwendig, das Sie diese akzeptieren.
5. Falls Sie den eigentlichen Web-Dienst das erste Mal nutzen, werden Sie darüber unterrichtet welche Attribute wir aus ihren Benutzerdaten an den Dienst übermitteln werden. Diese Liste gilt es ebenfalls zu akzeptieren, wenn Sie fortfahren wollen.
6. Schliesslich gelangen Sie zu Ihrem Web-Dienst. Je nachdem welche Bedingungen dieser an die Benutzerklassifikation (Student, Mitarbeiter, etc..) und Menge an benötigten Attributen stellt, werden Sie als authentifiziert und autorisiert eingestuft.

Falls der Web-Dienst Attribute erwartet die wir noch nicht freigeschaltet haben, erhalten Sie eine Fehlermeldung. Da wir darauf bedacht sind nur die notwendigsten Attribute zu übermitteln, kann es anfänglich zu Problemen beim Zugriff auf neue Web-Dienste kommen. In diesem Fall bitten wir Sie sich direkt (shib@gwdg.de), oder über den Support (support@gwdg.de) mit uns in Verbindung setzen. Ziehen Sie ggfs. unsere FAQs zu Rate.

Nachdem Sie sich einmalig erfolgreich authentifiziert haben, können Sie weitere Dienste in der selben Browser-Sitzung aus dem Katalog der DFN und eduGain AAI ansteuern und ggf. gebeten die zu übermittelnden Attribute zu bestätigen.

Um die Sitzung zu beenden, können Sie sich aus dem Web-Service ausloggen. Um die Anmeldung per Shibboleth global zu beenden, können Sie jederzeit ihren Browser vollständig schließen oder einen der folgenden Links direkt ansteuern: