bwIDM - Föderatives Identitätsmanagement

Description

Die Hochschulen des Landes Baden-Württemberg stellen eine große und stetig steigende Anzahl von IT-Diensten und IT-Ressourcen ihren Nutzern zur Verfügung. Die IT-Dienste tragen zur Qualität und Attraktivität der baden-württembergischen Hochschulen in wesentlichem Maße bei. Sind diese Dienste oftmals auf die einfache Verwendung für die Mitglieder der eigenen Hochschule optimiert, so ist deren Verwendung für Standortfremde oft nur mit größerem Aufwand möglich: Nutzer müssen dazu oftmals für jeden Dienst und jede Ressource eigene Zugänge beantragen, was zeitintensiv und fehleranfällig ist, da die Vergabeprozeduren von den lokalen Gegebenheiten abhängen. Mit Unter-stützung des Ministeriums für Wissenschaft, Forschung und Kunst Baden-Württemberg soll ein bLandeskonzept für ein gemeinsames föderatives Identitätsmanagement der baden-württembergischen Hochschulen (bwIDM) entwickelt und exemplarisch umgesetzt werden. Das Ziel des Projekts bwIDM besteht darin, auf den Ebenen der Authentifikation und Autorisation Grundlagen für standortübergreifende Dienste-Synergien und für ortsunabhängige Dienstnutzung zu legen und somit die Steigerung der nationalen und internationalen Konkurrenzfähigkeit und Sichtbarkeit der baden-württembergischen Hochschulen zu unterstützen.

Institutions
  • KIM
  • IT-Dienste Verwaltungsprozesse
  • WG Waldvogel (Distributed Systems)
Publications
  Simon, Michael; Waldvogel, Marcel; Schober, Sven; Semaan, Saher; Nussbaumer, Martin (2012): bwIDM : Föderieren auch nicht-webbasierter Dienste auf Basis von SAML

bwIDM : Föderieren auch nicht-webbasierter Dienste auf Basis von SAML

×

Zur organisationsübergreifenden Nutzung von IT-Diensten werden Dienst- Föderationen gebildet. Dabei kann das Nutzerkonto der sogenannten Heimateinrichtung auch zum Zugriff auf nicht-lokale Dienste genutzt werden. Während die Integration webbasierter Dienste in Föderationen mit SAML und beispielsweise Shibboleth mittlerweile in vielen Anwendungsbereichen allgegenwärtig ist, fällt die Integration nicht-webbasierter IT-Dienste schwer. Existierende Ansätze, mit denen sich prinzipiell auch nicht-webbasierte Dienste integrieren lassen, erfüllen essentielle Anforderungen nicht und/oder sind nach ihrem heutigen Entwicklungsstand noch nicht betriebsfähig. In diesem Papier werden zwei Verfahren für nicht-webbasierte, föderative Dienstzugriffe (Moonshot und PAM/ECP) evaluiert und notwendige Erweiterungen zur Sicherstellung der Betriebsfähigkeit vorgestellt. Ein implementierter Proof-of-Concept zeigt die Umsetzbarkeit der Lösung.

Origin (projects)

  Gienger, Pascal; Waldvogel, Marcel (2011): Polybius : Secure Web Single-Sign-On for Legacy Applications 4. DFN-Forum Kommunikationstechnologien ; 20./ 21.6.2011, Bonn, Germany. 2011

Polybius : Secure Web Single-Sign-On for Legacy Applications

×

Web-based interfaces to applications in all domains of university life are surging. Given the diverse demands in and the histories of universities, combined with the rapid IT industry developments, all attempts at a sole all-encompassing platform for single-sign-on (SSO) will remain futile. In this paper, we present an architecture for a meta-SSO, which is able to seamlessly integrate with a wide variety of existing local sign-in and SSO mechanisms. It is therefore an excellent candidate for a university-wide all-purpose SSO system. Among the highlights are: No passwords are ever stored on disk, neither in the browser nor in the gateway; its basics have been implemented in a simple, yet versatile Apache module; and it can help reducing the impact of security problems anywhere in the system. It could even form the basis for secure inter-university collaborations and mutual outsourcing.

Origin (projects)

Funding sources
Name Finanzierungstyp Kategorie Project no.
Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg third-party funds research funding program 617/11
Further information
Period: 01.07.2011 – 31.12.2013