Einfach erklärt: Nutzerauthentifizierung per Single Sign-on
In diesem Artikel geben wir Ihnen einige Informationen zum Thema "Nutzerauthentifizierung und Single Sign-on" an die Hand, die Sie mit dem nötigen Grundlagenwissen für ein Gespräch mit Ihrer IT ausstatten.
Worum geht es überhaupt beim Single Sign-on?
Beim Single Sign-on handelt es sich, wie der Name bereits impliziert, um eine „Einmalanmeldung“. Soll heißen: Eine Person meldet sich einmalig mit Name und Kennwort an ihrem Arbeitsplatz an und erhält automatisch Zugriff auf verschiedene Programme und Dienste, für die sie zugriffsberechtigt ist, und zwar ohne jeweils Anmeldename und Passwort eingeben zu müssen. Der große Vorteil eines Single Sign-ons liegt für die Anwendenden klar auf der Hand: Man muss sich keine separaten Passwörter merken und eingeben und kann sie somit auch nicht vergessen. Das spart Zeit, Nerven und erleichtert den Arbeitsalltag.
Auch für die IT bringt ein Single Sign-on-Verfahren viele Vorteile mit sich, da die Authentifizierung aller Nutzer an einer zentralen Stelle stattfindet und nicht in jeder Softwareanwendung einzeln. Das erhöht die Sicherheit, weil nicht nur die Passwortqualität besser kontrolliert werden kann, sondern die Zugangsberechtigungen auch nicht mehr in den verschiedensten Programmen geprüft werden müssen, sondern nur noch durch die eigene Organisation.
Was bedeutet das für Programme wie evasys, evaexam oder qurricula?
Für evasys, evaexam und qurricula bedeutet dies, dass hier zwar Nutzer in der Nutzerverwaltung angelegt sein müssen, aber keine Passwortverwaltung im System stattfindet. Wenn ich Prüferin bin, muss ich in evaexam über ein Prüfendenkonto verfügen. Melde ich mich bei evaexam an, prüft aber nicht evaexam, ob ich berechtigt bin, auf die Software zuzugreifen, sondern der sogenannte „Identity Provider“ der Organisation. Dieser meldet an evaexam zurück, ob ich zugreifen darf oder nicht und gewährt mir entsprechend den Eintritt.
Und was bedeutet das für Sie als Administrierende eines unserer Systeme?
Für Sie bedeutet das, dass Sie zum Beispiel ohne großen Aufwand Ihren Lehrenden Zugriff auf das evasys+ Befragungsportal oder Ihren Studierenden Zugriff auf das Student Portal ermöglichen können, oder auch die TB-Admins Ihrer Organisation schnell und einfach mit Zugängen zu evasys versehen können. Sie importieren wie gewohnt die Anmeldedaten bzw. die E-Mail-Adressen Ihrer Studierenden. Sie müssen sich aber nicht um die Passworterstellung und -verteilung kümmern, da diese schlichtweg nicht erforderlich ist.
Die einzige kleine Hürde, die Sie nehmen müssen, ist die einmalige Einrichtung des Single Sign-ons durch Ihre IT. Das Wort „klein“ ist in diesem Zusammenhang bewusst gewählt: evasys, evaexam und qurricula bieten bewusst sehr einfache Wege an, ein Single Sign-on zu realisieren.
Am einfachsten ist es, wenn Ihre Hochschule Mitglied einer Föderation ist, zum Beispiel des Deutschen Forschungsnetzes (DFN). Das DFN stellt seinen Mitgliedern zahlreiche Dienste bereit, wie eduroam für den standortübergreifenden Internetzugang. Wenn gewünscht, regelt es auch ein Single Sign-on und stellt dabei die Einhaltung der technischen und rechtlichen Rahmenbedingungen sicher. In evasys, evaexam und qurricula ist die Anbindung dann nur zwei Konfigurationseinträge und einen Mausklick entfernt.
Sollte Ihre Hochschul-IT einen eigenen Identity Provider bereitstellen, kann die Anbindung ebenfalls schnell und einfach erfolgen. Hier unterstützt unser Support bei der Konfiguration und richtet die Anbindung gemeinsam mit Ihrer IT ein.
Nun der zentrale Punkt: Wie sage ich es meiner IT?
Wenn Sie Interesse an einer Single Sign-on Anbindung haben, sollten Sie Ihre IT mit folgenden Informationen versehen:
-
Es gibt, wie oben erläutert, zwei Möglichkeiten der Anbindung: Die Anmeldung kann über eine Föderation erfolgen (z.B. über die Dienste DFN-AAI, SWITCHaai oder eduGAIN) oder über einen eigenen Identity Provider (z.B. basierend auf Shibboleth oder Microsoft ADFS)
-
Im Falle der Föderation müssen in evasys, evaexam und qurricula lediglich zwei Informationen hinterlegt werden: Die Entity-ID des Identity-Providers und das Mapping-Attribut. Beide Informationen sollten Ihrer IT vorliegen.
-
Im Falle des eigenen Identity Providers unterstützt unser Support bei der Einrichtung und klärt das weitere Vorgehen mit Ihrer IT. Wichtig für Ihre IT ist dabei zu wissen: Die SSO-Anbindung basiert auf dem SAML2 Protokoll, d.h. sie ist kompatibel zu den meisten gängigen SSO-Lösungen.
-
Und ein letzter wichtiger Punkt: Bei unserer SSO-Anbindung setzen wir einen Cloud-Dienst als Vermittler ein. Dieser liegt außerhalb Ihrer eigenen IT-Infrastruktur im Cloudsystem Azure. Es muss somit noch im Vorfeld geklärt werden, ob ggf. organisationsinterne Vorgaben zur Nutzung eines Cloud-Dienstes beachtet werden müssen. Selbstverständlich haben wir auch das Thema Datenschutz bei der Planung des Dienstes berücksichtigt. Entsprechende Dokumente stellen wir den Datenschutzbeauftragten gerne zur Verfügung.
Bei allen weiteren Fragen stehen wir gerne unterstützend zur Verfügung und suchen auch gerne mit Ihnen gemeinsam das Gespräch mit Ihrer IT. Ausführliche Informationen finden Sie zudem im evasys/evaexam Technikhandbuch.