FHNW.2

Integration AAI-Login mit Kerberos SSO

Long Title: Integration AAI-Login mit Kerberos SSO
Leading
Organization:
Fachhochschule Nordwestschweiz
Other
Partners:
SWITCH - Teleinformatikdienste für Lehre und Forschung
Domain: AAA
Status: finished
Start Date: 01.04.2010
End Date: 28.02.2011
Project Leader: M. Hausherr

Nur noch einmal einloggen müssen und damit Zugriff auf alle benötigten Daten und Applikationen zu haben - das wünschen sich viele Benutzer. Mit AAI wurde das Single-Sign-On (SSO) bereits für viele Anwendungen realisiert. Noch einen Schritt weiter geht dieses Projekt, das es möglich macht, mit der Anmeldung im System gleichzeitig auch auf AAI-geschützte Applikationen zuzugreifen. Die Open Source Lösung kann von anderen Hochschulen mit ähnlicher Infrastruktur integriert werden.

Resultate

Mit der entwickelten Software wurde eine einfach in die IdentityProvider (Loginserver)-Standardinstallation integrierbare Komponente geschaffen. Sie steigert die Benutzerfreundlichkeit des AAI-Gesamtsystems massgeblich, indem ein echtes "Single Sign On" (SSO) ermöglicht wird. Mitarbeitende oder Studierende, die sich bereits mit ihrem PC/Notebook an einer Active Directory (AD) Domain angemeldet haben, können nun ohne erneute Eingabe ihrer Anmelde-Informationen auf sämtliche AAI-Applikationen zugreifen.
Der LoginHandler kommt ohne externe Abhängigkeiten aus und kann in der finalen Fassung wahlweise als "kombinierte" Lösung (Kerberos/UsernamePassword) oder als Stand-alone Version eingesetzt werden.

Komponente Beschreibung
Source Code
Source Code (Version 1.0)
Dokumentation
Dokumentation auf Shibboleth-Wiki

Ausblick

Ab ca. Mitte April 2011 läuft der produktive Einsatz an der FHNW mit gut 3000 domänenintegrierten Windows-PC/Notebooks, welche die neue Funktionalität grundsätzlich nutzen können. Weitere Hochschulen haben ihr Interesse bereits in der Beta-Phase bekundet.
Längerfristig wäre eine Integration des Kerberos Login-Handlers in den Shibboleth Core-Code wünschenswert. Durch die enge Abstimmung mit dem SWITCH/AAI-Team und Mitgliedern des Shibboleth-Entwicklungsteams konnte eine Lösung entwickelt werden, die sich sehr gut in die Standard-Shibboleth-Architektur integriert. Dadurch sollte es möglich sein, die neue Komponente in eine zukünftige Version des IdentityProviders standard¬mässig zu integrieren.


Ziele

Ziel des Projektes ist es, zusammen mit dem AAI-Team von SWITCH die technischen Grundlagen und ein detailliertes Konzept für ein Szenario auf Basis des Domänen-Logins (d.h. ohne Benutzerzertifikate) zu erarbeiten. lm Rahmen einer Pilotinstallation werden die notwenigen Entwickungs- und Testarbeiten vorgenommen. Als Abschluss wird eine ausführliche Dokumentation erstellt, die es anderen Hochschulen mit einer ähnlichen Infrastruktur ermöglicht, die entwickelte Lösung ohne grossen Aufwand ebenfalls einzusetzen. Die entwickelten Softwarekomponenten werden als Open Source Software der Community zur Verfügung gestellt.

Erste Abklärungen haben die grundsätzliche Machbarkeit aufgezeigt. Um das System nicht komplexer ais notwendig zu machen und den grösstmöglichen Nutzen für die Community zu erreichen, scheint der bestmögliche Lösungsansatz die Entwicklung eines neuen Login-Handlers für den Shibboleth IdP zu sein.

Nutzen

Wenn eine Hochschule die neue Komponente für den Shibboleth-IdentityProvider (Shibboleth = Technologie hinter AAI) einsetzt, können grundsätzlich alle Benutzer mit domänenintegrierten Computern von einem echten SSO profitieren. Insbesondere für Benutzergruppen, die bestimmte Webanwendungen wie z.B. Intranetplattformen oder Portalsysteme sehr häufig aufrufen müssen, ergibt sich ein grosser Gewinn an Benutzerfreundlichkeit. Unter Umständen kann dadurch auch auf andere Loginmechanismen verzichtet werden, was die Applikationsarchitektur vereinfacht.

Rahmenbedingungen für die Lösung

  • Microsoft AD oder andere Verzeichnisdienste mit Kerberos-Unterstützung ais Basis (ev. später auf Basis von OpenLDAP);
  • Unterstützung für mehrere Domänen, idealerweise auch in separaten Forests;
  • Berücksichtigung unterschiedlicher Netzwerkszenarien; z.B. Identity Provider in DMl, mögliche Firewall-Probleme;
  • Unterstützung in einem ersten Implementierungsschritt für Windows-Clients; später auch für Linux/Mac-Systeme, sofern Authentifizierung ebenfalls auf Kerberos basiert;
  • Berücksichtigung unterschiedlicher Browser;
  • Benutzerfreundliche Fallback-Lösung;
  • Prüfung/Umsetzung weiterer Optimierungsmöglichkeiten bezüglich Auswahl der Heimorganisation (WAYF/DS-Service) mit dem Ziel einer optimalen Benutzerführung mit möglichst wenigen Schritten.

Back