Web-Trust-Center: Single Sign On für Webanwendungen

Im Intranet der TU Chemnitz werden zahlreiche Web-Anwendungen betrieben. Diese Anwendungen müssen Nutzer authentifizieren und autorisieren. Darüber hinaus benötigen diese Web-Applikationen Informationen über die Nutzer (Attribute). Web-Trust-Center (WTC) ist ein Dienst, dessen Integration in verschiedene Web-Anwendungen ein Schritt in Richtung höherer Sicherheit und mehr Komfort bei der Benutzung ist.

Wie funktioniert's?
Was muss man als Nutzer beachten?
Wie kann ich dieses Verfahren als Autor benutzen?
Service Level Agreement für Web-Trust-Center und Service Provider
FAQ: Antworten auf häufig gestellte Fragen
Weitere Informationen zur AAI und Shibboleth

Wie funktioniert's?

Wenn Sie auf geschützte Web-Seiten der zentralen Web-Server zugreifen, werden Sie zunächst auf eine Anmelde-Seite umgelenkt (siehe Abbildung), auf der Sie ggf. auswählen können, zu welcher Einrichtung Sie gehören.

Als Angehöriger der TU Chemnitz können Sie einfach die Schaltfläche "Am Web-Trust-Center anmelden!" betätigen. In den meisten Fällen werden Sie dann von Ihrem Browser aufgefordert, Loginkennzeichen und Passwort einzugeben. Falls Sie bereits ein sogenanntes Kerberos Ticket Granting Ticket (TGT) besitzen und Ihr Web-Browser Kerberos unterstützt (das ist der Fall, wenn Sie mit Mozilla Firefox unter Linux an URZ-verwalteten Maschinen arbeiten - z.B. in einem der zentralen Computerpools), dann entfällt diese Loginkennzeichen-/Passwort-Eingabe, weil das TGT bereits Ihre Identität bestätigt. In diesem Authentisierungsschritt stellt das Web-Trust-Center Ihnen (genauer: dem für Sie arbeitenden Web-Browser) eine Bestätigung Ihrer Identität aus, die von Web-Anwendungen akzeptiert wird, die an dem Verfahren teilnehmen.

Dieser Anmeldevorgang ist also nur noch erforderlich, wenn Sie mit einem neugestarteten Web-Browser eine der teilnehmenden Web-Anwendung benutzen. Schon bei der Benutzung einer zweiten Anwendung mit demselben Browser entfällt der Anmeldevorgang (daher: Single Sign On). Damit wird deutlich, dass der Effekt umso größer ist, je mehr Web-Anwendungen auf dieses Verfahren umgestellt sind.

Darüber hinaus ist in das Verfahren noch die Übermittlung von sogenannten Attributen an die Web-Anwendung verbunden. Auf Basis dieser Attribute können Autoren von solchen Anwendungen z.B. Web-Formulare mit den persönlichen Daten des Benutzers vorausfüllen oder Autorisierungsentscheidungen treffen, z.B. Web-Seiten nur Studenten oder Mitarbeitern einer bestimmten Struktureinheit zugänglich machen.

Ein weiterer Vorteil des Web-Trust-Centers ist die Möglichkeit zum Zusammenschluss mit anderen Einrichtungen (z.B. andere Hochschulen) in so genannte Föderationen. Alle teilnehmenden Einrichtungen können Nutzer innerhalb dieses Zusammenschlusses authentifizieren.

Die E-Learning-Plattform "Bildungsportal Sachsen" wurde bereits an das Web-Trust-Center der TU Chemnitz angebunden. Somit ist es möglich, die Dienstleistungen des Portals ohne separate Registrierung und ohne zusätzliche Zugangspasswörter sofort zu nutzen.

Was muss man als Nutzer beachten?

Vor Eingabe Ihres Loginkennzeichens und des Passwortes sollten Sie die Server-Identität feststellen, um Fälschungen auszuschließen ("Phishing"):

URL-Zeile: https://wtc.tu-chemnitz.de/...
Zertifikat: Überprüfen Sie die "Fingerabdrücke" des Zertifikats für wtc.tu-chemnitz.de

Das Verfahren benötigt Cookies. Sie müssen also Ihren Web-Browser so konfigurieren, dass er Cookies akzeptiert.

Die Einbindung in einzelne Web-Anwendungen erfolgt durch sogenannte Redirects (Umleitungen). Damit diese möglichst transparent von Ihrem Browser ausgeführt werden können, ist Javascript-Unterstützung notwendig. Wenn Sie das nicht zulassen wollen, werden Sie das "Redirect" jeweils durch einen weiteren Klick veranlassen müssen.

Das Verfahren kennt in der aktuellen Version kein "Logout". Wenn Sie also den Anmeldevorgang durchgeführt haben, weil Sie eine teilnehmende Anwendung benutzen, dann vermittelt Ihr Web-Browser Ihre Identität transparent an alle anderen teilnehmenden Web-Anwendungen. Sie sollten daher niemals andere Personen mit Ihrem Browser arbeiten lassen und beim Verlassen Ihres Rechners immer eine Bildschirmsperre aktivieren.