Shibboleth für Single Sign-on
Shibboleth ist ein Verfahren zur Authentifizierung (Feststellung der Identität) und Autorisierung (Feststellen der Berechtigungen) für Webanwendungen und Webservices, das an der Pädagogischen Hochschule Tirol für den Zugang zu verschiedenen Diensten im Einsatz ist.
Vorteile
Der große Vorteil des Verfahrens ist, dass BenutzerInnen der Pädagogischen Hochschule Tirol sowie gegebenenfalls auch externe Personen sich über Shibboleth nur einmal anmelden müssen, um ortsunabhängig auf Dienste oder lizenzierte Inhalte verschiedener AnbieterInnen zugreifen zu können (Single Sign-on). Shibboleth findet vor allem im Bereich Wissenschaft und Lehre Anwendung.
Anmeldung
An der PH Tirol erfolgt die Anmeldung mit dem PH-Online Benutzernamen plus der Domain @ph-tirol.ac.at.
Hinweis: Der PHO Benutzername entspricht nicht immer der E-Mailadresse!
Passwort vergessen?
Die Rücksetzung des Passwortes/Kenwortes Ihres Account kann ausschließlich über PH-Online erfolgen. (Anleitung)
Ausloggen
Um sich abzumelden, muss der Browser geschlossen werden.
Einwilligung zur Weitergabe von Daten an einen Dienst widerrufen
Wenn in der Vergangenheit die Weitergabe von Daten für alle Dienste gestattet wurde, kann dies bei einem erneuten Einloggen via Shibboleth widerrufen werden.
Shibboleth-Dienste im Umfeld der PH Tirol
Derzeit (Stand Jänner 2021) ist an der Pädagogischen Hochschule Tirol die Anbindung folgender Systeme für Studierende und Dozierende an Shibboleth umgesetzt:
- LeON
- Moodle
- PlagScan
- EduRoam
- ZOOM
- ...
Datenweitergabe
Im Zuge der Authentifizierung bzw. Autorisierung werden bei der Anmeldung via Shibboleth benutzerInnenbezogene Daten über gesicherte Kanäle an das Zielsystem weitergegeben, damit die Benutzerin/der Benutzer im Zielsystem arbeiten kann. In Erfüllung der Verpflichtung zu Transparenz als tragendem Grundsatz der Datenschutz-Grundverordnung wird direkt in Shibboleth offengelegt, welche Daten an wen und zu welchem Zweck übertragen werden. Die Bezeichnungen der Felder sowie ihre Bedeutung wird hier dargestellt:
| Datenfeld | Bedeutung |
|---|---|
| commonName | BenutzerInnenname |
| displayName | Anzeigename aus den Berechtigungsgruppen |
| eduPersonAffiliation, eduPersonScopedAffiliation | Zugehörigkeit zu Berechtigungsgruppen |
| eduPersonpersistentId | Sessionkennung für UB-Systeme |
| eduPersonPrincipalName | E-Mail-Adresse für u:book und Rechtsdatenbank |
| eduPersonTargetedID | Zufallszahl für Sessionkennung für die Rechtsdatenbank |
| E-Mail-Adresse | |
| employeeNumber | SAP-Nummer |
| employeeType | UGO-Schlüssel |
| givenName | Vorname |
| organizationalUnit | Kennung für Studierende |
| surname | Nachname |
| uid | BenutzerInnenname |
Darüber hinaus haben BenutzerInnen die volle Kontrolle darüber, für welche Dienste ihre Entscheidung Gültigkeit haben soll und können eine einmal getroffene Entscheidung jederzeit widerrufen.