FHNW.2 |
Integration AAI-Login mit Kerberos SSO |
Long Title: | Integration AAI-Login mit Kerberos SSO |
Leading Organization: |
Fachhochschule Nordwestschweiz |
Other Partners: |
SWITCH - Teleinformatikdienste für Lehre und Forschung
|
Domain: | AAA |
Status: | finished |
Start Date: | 01.04.2010 |
End Date: | 28.02.2011 |
Project Leader: | M. Hausherr |
Mit der entwickelten Software wurde eine einfach in die IdentityProvider (Loginserver)-Standardinstallation
integrierbare Komponente geschaffen. Sie steigert die Benutzerfreundlichkeit des AAI-Gesamtsystems massgeblich,
indem ein echtes "Single Sign On" (SSO) ermöglicht wird. Mitarbeitende oder Studierende, die sich bereits
mit ihrem PC/Notebook an einer Active Directory (AD) Domain angemeldet haben, können nun ohne erneute
Eingabe ihrer Anmelde-Informationen auf sämtliche AAI-Applikationen zugreifen.
Der LoginHandler kommt ohne externe Abhängigkeiten aus und kann in der finalen Fassung wahlweise als "kombinierte"
Lösung (Kerberos/UsernamePassword) oder als Stand-alone Version eingesetzt werden.
Komponente | Beschreibung |
Source Code |
Source Code (Version 1.0) |
Dokumentation |
Dokumentation auf Shibboleth-Wiki |
Ab ca. Mitte April 2011 läuft der produktive Einsatz an der FHNW mit gut 3000 domänenintegrierten Windows-PC/Notebooks,
welche die neue Funktionalität grundsätzlich nutzen können. Weitere Hochschulen haben ihr Interesse bereits
in der Beta-Phase bekundet.
Längerfristig wäre eine Integration des Kerberos Login-Handlers in den Shibboleth Core-Code wünschenswert.
Durch die enge Abstimmung mit dem SWITCH/AAI-Team und Mitgliedern des Shibboleth-Entwicklungsteams konnte eine
Lösung entwickelt werden, die sich sehr gut in die Standard-Shibboleth-Architektur integriert. Dadurch sollte
es möglich sein, die neue Komponente in eine zukünftige Version des IdentityProviders standard¬mässig zu integrieren.
Erste Abklärungen haben die grundsätzliche Machbarkeit aufgezeigt. Um das System nicht komplexer ais notwendig zu machen und den grösstmöglichen Nutzen für die Community zu erreichen, scheint der bestmögliche Lösungsansatz die Entwicklung eines neuen Login-Handlers für den Shibboleth IdP zu sein.
Wenn eine Hochschule die neue Komponente für den Shibboleth-IdentityProvider (Shibboleth = Technologie hinter AAI) einsetzt, können grundsätzlich alle Benutzer mit domänenintegrierten Computern von einem echten SSO profitieren. Insbesondere für Benutzergruppen, die bestimmte Webanwendungen wie z.B. Intranetplattformen oder Portalsysteme sehr häufig aufrufen müssen, ergibt sich ein grosser Gewinn an Benutzerfreundlichkeit. Unter Umständen kann dadurch auch auf andere Loginmechanismen verzichtet werden, was die Applikationsarchitektur vereinfacht.