Single-SignOn mit Shibboleth in einer föderativen Umgebung

Ato Ruppert, Universität Freiburg

Kernaufgabe von Bibliotheken ist die Beschaffung und Bereitstellung von Informationen für Wissenschaft und Lehre. Im Zeitalter des Internet sind so neue Aufgabenstellungen auf die wissenschaftlichen Bibliothek zugekommen: Viele unterschiedliche elektronische Angebote müssen den Interessenten so vermittelt werden, dass ein Nutzung möglichst problemlos erfolgen kann. Wissenschaftlich Tätige und Studierende wollen sich in der Regel nicht mit technischen Details beschäftigen.

Lizenzpflichtige Inhalte müssen aus rechtlichen Gründen über ein Zugangsverfahren geschützt werden. Die ersten Ansätze seit den 90ger Jahren basierten i.d.R. auf der IP-Adresskontrolle, die den Nutzern vom eigenen Arbeitsplatz in der Heimateinrichtung aus Zugang zu allen Quellen ermöglichte. In einzelnen Fällen war der Einsatz von sog. Proxies notwendig – was nicht immer leicht zu vermitteln war. Immer wieder führte die Einschränkung auf den Standort des genutzten PC zu Rückfragen.

Seit Januar 2005 arbeitet die Universitätsbibliothek Freiburg daran, bundesweit ein Verfahren einzuführen, mit dem die Nutzung der Dienste im Internet unter Nutzung der lokale in der Einrichtung definierten Authentifizierung von jedem Ort aus erfolgen kann. Das Grundprinzip von Shibboleth (http://shibboleth.internet2.edu/), der zugrunde liegenden Software, beruht auf einer Verteilung der Verantwortung: Die Einrichtung, der ein Nutzer zuzurechen ist, authentifiziert ihn und beschreibt seine elektronische Identität mit geeigneten Attributen. Der Anbieter prüft diese Angabe und schaltet den Zugrang frei oder sperrt ihn.

Voraussetzung in den Einrichtungen ist ein gut funktionierendes „Identity Management“. Vorraussetzung bei der (internationalen) Zusammenarbeit ist ein „Vertrauensrahmen“. Dieser wird von der Föderation aufgebaut und garantiert, wie im vorangehenden Vortrag von Herrn Kähler deutlich wird.
Wenn möglichst viele Einrichtungen und Anbieter dieses Verfahren unterstützen, kann auch im Bereich der Nutzung verteilter, digitaler Dienste im Internet ein Single-SignOn-Verfahren aufgebaut werden: Einmal authentifizieren und alle Dienste nutzen.