für den Shibboleth Identity Provider

an der Rheinischen Friedrich-Wilhelms-Universität Bonn

Version 1.0

I. Informationen über das Verfahren

Die Benutzer der Universität Bonn benötigen oft für die Lehre, Studium und Forschung IKT-Ressourcen von Drittanbietern wie z. B. elektronische Dienste von Verlagen zu Online-Recherchen, Internet-Portale zum Herunterladen von Ressourcen oder zur Bestellung von Hardware zu gesonderten hochschulspezifischen Konditionen. Die Anbieter haben Verträge mit der Universität Bonn geschlossen, die die Nutzungsbedingungen festlegen und setzen voraus, dass zur Nutzung ausschließlich ein begrenzter Kreis von berechtigten Benutzern an der Universität zugelassen wird. Die Drittanbieter möchten sichergehen, dass nur die berechtigten Benutzer einen Zugang auf Ihre Ressourcen erhalten, für diesen Zweck müssen sich die Benutzer authentifizieren und deren Zugangsberechtigung muss überprüft werden. Die Universität Bonn ist verpflichtet diese Lizenzbedingungen zu erfüllen. Beim bisherigen Verfahren haben die Dienstanbieter die Authentifizierung und Autorisierung der Endbenutzer selbst vorgenommen. Dafür haben die Dienstanbieter entweder eine IP-Adressüberprüfung durchgeführt oder eine Überprüfung der Zugangsdaten der Endbenutzer in ihren Online-Diensten implementiert.

* Die Adressüberprüfung ist verbunden mit Nachteilen für beide Seiten. Der Dienstanbieter hat keine  Möglichkeit seine Lizenzbedingungen an unterschiedlichen Nutzergruppen zu knüpfen; für die Endbenutzer gestaltet sich der Zugriff schwierig, wenn die Benutzer sich außerhalb der Heimateinrichtung befinden.

* Die Überprüfung der Zugangsdaten setzt voraus, dass der Anbieter diese Daten erhält, verarbeitet und speichert. Wenn der  Dienstanbieter eigene Zugangsdaten erstellt, führt das zu einer unübersichtlichen und schwer kontrollierbaren Menge an Zugangsdaten. In diesen Fällen registriert sich der Nutzer selbst beim Anbieter und gibt seine persönlichen Daten in ein Online-Formular ein. Wenn dagegen der Anbieter die Zugangsdaten der Heimeinrichtung einsetzt und die erhaltenen Daten an die Heimateinrichtung zur Überprüfung weiterleitet, gelangt der Anbieter an sehr sensiblen Daten.

Um dieses Problem zu lösen, nimmt die Universität Bonn an der Authentifizierungs- und Autorisierungs- Infrastruktur im DFN teil, s. g. DFN-AAI (https://www.aai.dfn.de/), die den Zugang von berechtigten Benutzern im Wissenschaftsnetz vereinfacht und den Datenschutz bei der Nutzung von Ressourcen von Vertragspartnern von DFN-AAI erhöht. Die Verlässlichkeit und die Kommunikation sind durch den DFN-Verein vertraglich geregelt und werden durch den Einsatz der Open Software Shibboleth Identity Provider (IdP) (http://shibboleth.internet2.edu/) technisch implementiert. Alle teilnehmenden Einrichtungen sind durch den Vertrag mit dem DFN dazu verpflichtet, die ihnen übertragenen Daten nach dem Datenschutzgesetz zu behandeln. Zusätzlich zu den verträglichen Verpflichtungen spielt die eingesetzte Technik eine sehr wichtige unterstützende Rolle, um die Datensicherheits- und die Datensparsamkeitsanforderungen zu erfüllen.

II. Datenschutz und Datensicherheit

Die IdP Komponente implementiert ein gesichertes System, das die Sprache SAML (Security Assertion Markup Language) nutzt und die Daten verschlüsselt durch eine SSL-Verbindung austauscht.

Darüber hinaus wird der Austausch von personenbezogenen Daten auf ein Minimum notwendiger Attribute reduziert. Die DFN-Föderation regelt die vertrauenswürdige Kommunikation zwischen den Anbietern und der Heimateinrichtung.  Wenn Endbenutzer eine Ressource eines Anbieters nutzen möchten, geben sie dem Anbieter keine persönlichen Zugangsdaten bekannt. Die Endbenutzer werden auf das Portal der Heimateinrichtung weitergeleitet und geben dort ihre Uni-IDs und Passwörter ein. Die Heimateinrichtung (der IdP der Universität Bonn) überprüft die Zugangsdaten auf standardisierten Wegen, die bereits für die etablierten Dienste wie E-Mail, VPN und diverse interne Online-Dienste benutzt werden. Diese Daten verlassen die Heimateinrichtung nicht. Nach der erfolgreichen Überprüfung der Zugangsdaten behandelt die Heimateinrichtung den Endbenutzer als authentifiziert und ordnet ihn zu einer oder mehreren Benutzergruppen innerhalb der Heimateinrichtung ein, die seine Autorisierung für die angeforderten Diensten rechtfertigt,  z. B. wenn eine besondere Gruppe innerhalb der Heimateinrichtung angesprochen wird (Studenten, Mitarbeiter, Fachbereiche oder Fakultäten). Nachdem dieser Prozess abgeschlossen ist, wird bei der Heimateinrichtung überprüft, ob mit dem Dienstanbieter bereits Verträge abgeschlossen wurden und welche Benutzer-Attribute übertragen werden dürfen. Dann erhält der Benutzer eine Übersicht welche Attribute vom Dienstanbieter angefordert wurden und entscheidet, ob er dem Anbieter vertraut und ob die Daten übermittelt werden sollen.  Wenn der Benutzer der Übertragung zustimmt, erhält der Ressourcen- und Dienstanbieter die vertraglich geregelten Attribute, wie z. B. dass der Benutzer ein Mitglied der Universität Bonn ist, in der Rolle Student, Mitarbeiter usw. und eine eindeutige anonymisierte ID. Auf diese Weise erhält nur die Heimateinrichtung die eingegebenen Zugangsdaten und leitet eine Bestätigung weiter, dass der Benutzer authentifiziert und autorisiert wurde, zusammen mit einer kleinen Mengen an Attributen. Als Teil der Föderation vertraut der Dienstanbieter dieser Bestätigung ohne die Zugangsdaten selbst überprüft zu haben. Welche Auswahl von Attributen übertragen wird, ist abhängig von den Dienstanbietern und deren verträglich festgelegten Anforderungen.

Nach dem Einloggen bem IdP der Universität Bonn und vor der Übertragung der Attribute am Dienstanbieter erhält der Endbenutzer einen Überblick über die angeforderten Attribute. Wenn der Endbenutzer mit der Übertragung nicht einverstanden ist, kann er den Prozess abbrechen, indem er den Browser schließt. Eine automatische Übertragung findet nicht statt, der Benutzer entscheidet explizit, ob die Übertragung stattfindet. Die Anzeige der Attribute und die Einwilligung für die Datenübertragung der Attribute wird ein mal pro Dienstanbieter eingeholt.

III. Gewährleistung und Haftung

Der Betreiber behält sich vor das Angebot von Shibboleth IdP jederzeit und ohne gesonderte Ankündigung zu ändern oder einzuschränken. Für die angebotenen Dienste sind die jeweiligen Dienstanbieter zuständig.

Der Gebrauch des Shibboleth IdPs geschieht auf eigenes Risiko des Nutzers. Es wird keine Haftung seitens des Betreibers für Schäden übernommen, die aus der Nutzung entstehen.

Eine Haftung für Schäden durch Ausfälle des Systems wird nicht übernommen.

IV. Nutzungsberechtigung

Alle Angehörigen der Rheinischen Friedrich-Wilhelms Universität Bonn sind zur Nutzung von Shibboleth IdP berechtigt. Die Zulassung zu den einzelnen Diensten unterschiedlicher Anbieter liegt in der Verantwortung der Dienstanbieter und hängt von den aktuell vertraglichen Lizenzbedingungen ab.

Für die Anmeldung ist die persönliche Uni-ID des Hochschulrechenzentrums erforderlich. Die Nutzungsrechte sind nicht übertragbar. Bei Missbrauch haftet der eingetragene Benutzer der Uni-ID.

Bei Verstößen gegen diese Nutzungsvereinbarung kann der Benutzer von einer weiteren Nutzung des Shibboleth IdPs ausgeschlossen werden.

Der Zugang erlischt sofort mit dem Ausscheiden. Es gibt keine Karenzzeit. Dazu sind wir durch die Verträge im Rahmen der DFN-AAI verpflichtet.

Entsprechend unterliegt die Benutzung von Shibboleth IdP den allgemeinen Nutzungsbedingungen des Hochschulrechenzentrums, die diese Nutzungsbedingungen ergänzen:

www.hrz.uni-bonn.de/ueber-uns/benutzungsregelung

Wenn Sie mit den Datenschutz- und Nutzungsbedingungen einverstanden sind, stimmen Sie diese bitte unten zu.

Wenn Sie damit nicht einverstanden sind, schließen Sie bitte den Browser.