Wer sich viele Login-Daten merken muss, notiert sich Benutzernamen und Passwörter entweder in einer Liste (um irgendwann den Zettel zu verlieren), verwendet immer dasselbe Kennwort (um einem Hacker alle Türen zu öffnen) oder verwaltet alles mit einem Passwort-Manager. Letzteres ist eine gute Lösung, nur tun sich immer noch viele schwer mit der Einrichtung, sodass diese Nutzer*innen nach wie vor zu einer seltenen Spezies gehören. Das bestätigen die Zugangsdaten, die das Hasso-Plattner-Institut im letzten Jahr analysiert hat: „123456“, „password“ oder „abc123“ belegen immer noch vordere Plätze in der Liste der beliebtesten Passwörter. Die 67 Millionen untersuchten Daten sind die Ausbeute zahlreicher Datenleaks, deren Opfer offensichtlich keine persönliche Kennwort-Strategie zu verfolgen scheinen.
Riskant kann das auch für Teilnehmende einer Konferenz werden. Im Konferenz-Account sind persönliche Daten hinterlegt – nicht unbedingt Informationen, die anderen offen zugänglich sein sollen.
Wiederverwendbare Accounts
Immer häufiger begegnet Nutzer*innen bei der verpflichtenden Registrierung für Programme und Services ein Button mit der Option, sich stattdessen mit einem schon bestehenden Account eines anderen Anbieters anzumelden, etwa dem eigenen Google-, Facebook- oder Apple-Account. So loggen sich Personen in eine Anwendung ein, ohne vorher ein neues Benutzerkonto samt Passwort erstellen zu müssen.
Ein solcher so genannter Single-Sign-on (SSO), das einmalige Anmelden, um mit demselben Login gleich mehrere Anwendungen nutzen zu können, gibt es auch für Organisationen in der Wissenschaft. Gesteuert wird das Ganze dort durch ein Verfahren mit dem eher ausgefallenen Namen Shibboleth.
Die Erklärungen, die man im Rahmen einer kurzen Google-Suche nach Shibboleth so findet, sind oft ein bisschen umständlich formuliert und bleiben für Konferenzveranstalter ohne technischen Hintergrund kryptisch. Verständlich, wenn jemand bei einem mit Begriffen wie „verteilte Authentifizierung“, „Lokalisierungsdienst“ und „Identitätsdepot“ gespickten Text aussteigt, weil das doch ein wenig zu viele Fremdwörter auf einmal sind. Andererseits ist das schade, weil Shibboleth das Anmeldungsprozedere bei Konferenzen deutlich verkürzt und besser absichert. Versuchen wir es also mal mit einer Erklärung, die hoffentlich ein wenig mehr Licht ins Dunkel bringt.
Einfaches Einloggen für Wissenschaftler*innen
Mit Shibboleth entfällt genau wie beim „Mit Google anmelden“-Button das Anlegen eines neuen Nutzerkontos für einzelne Anwendungen. Voraussetzung dafür ist, dass die Software, die der Nutzer verwenden möchte, zu einem Verbund (= Föderation) gehört. Beispielsweise ist unsere Konferenz-Management-Software Converia Teil der DFN-AAI-Föderation. Das ist ein Zusammenschluss des Deutschen Forschungsnetzes, der Mitglieder wissenschaftlicher Einrichtungen (Hochschulen, Forschungsinstitute, Bibliotheken etc.) mit webbasierten Anwendungen (z.B. Converia, Bibliotheksdatenbanken, Lernplattformen, Uni-Webmail) verbindet.
Das bedeutet, dass die wissenschaftliche Mitarbeiterin einer FH ihren Hochschul-Login verwenden kann, um sämtliche Anwendungen der Föderation zu nutzen. Ohne Shibboleth bräuchte sie für jede der Anwendungen ein separates Benutzerkonto mit Passwort.
Um sicherzugehen, dass eine Person zu einer Einrichtung der DFN-AAI gehört, prüft Shibboleth beim ersten Login immer, ob:
- die Nutzerin wirklich die Person ist, die sie vorgibt zu sein (Authentifizierung)
- die Nutzerin die Rechte hat, um die Anwendung auszuführen (Autorisierung)
Das „AAI“ in DFN-AAI steht übrigens für „Authentifikations- und Autorisierungs-Infrastruktur“ und weist schon im Namen des Verbundes auf die anstehende Überprüfung hin.
Wie funktioniert Shibboleth für eine Konferenz-Management-Software?
Converia ist als Teil des DFN-AAI-Verbundes eine durch Shibboleth gesicherte Anwendung. Jede Anwendung gilt im Shibboleth-Jargon als Service Provider: Sie stellt einen Dienst zur Verfügung, in unserem Fall die Konferenz-Registrierung.
Am konkreten Beispiel sieht das wie folgt aus: Ein Fachgebiet einer Universität richtet seine Jahrestagung aus. Die Online-Anmeldung und die Einreichung der Abstracts erfolgt über die Konferenz-Website, die das Organisationsteam mit Converia erstellt hat. Ein Mitarbeiter einer anderen Hochschule möchte nun an der Tagung teilnehmen und ein Ticket kaufen.
Auf der Website muss er sich erst mal entscheiden: Entweder legt er ein neues Benutzerkonto in Converia an oder geht den einfacheren Weg, indem er sich mit den Zugangsdaten seiner Hochschule einloggt.
Weil er seinen Uni-Account nutzen will, klickt der Nutzer nun also auf den „DFN-AAI“-Button und startet damit die oben beschriebene Prüfung:
1. Woher kommst du?
Los geht es, indem der Service Provider (Converia) den Mitarbeiter zunächst an den Lokalisierungsdienst weiterleitet. Wie eingangs erwähnt, gehören der DFN-AAI-Föderation viele verschiedene Organisationen aus dem Bereich der Wissenschaft an, darunter sämtliche deutsche Hochschulen. Der Mitarbeiter muss nun seine Universität auswählen, denn nur dort sind seine Daten hinterlegt.
2. Wer bist du?
Hat der Lokalisierungsdienst im ersten Schritt erfahren, dass der Mitarbeiter an der Uni Mainz arbeitet, leitet er ihn an die Uni Mainz weiter. Die Uni fungiert als Identity Provider, weil dort die Daten und die Zugriffsrechte des Mitarbeiters hinterlegt sind. Auf der Website findet dieser einen Login-Bereich zur Eingabe seiner Zugangsdaten vor. Mit der Anmeldung gibt er sich als Angehöriger der JGU Mainz zu erkennen.
3. Erfolgreich angemeldet
War der Login erfolgreich, geht es zurück zum Service Provider Converia. Die Prüfung des Nutzers und seiner Berechtigungen ist abgeschlossen und der Anmeldung als Konferenz-Teilnehmer steht nichts mehr im Weg.
Wie sicher ist Shibboleth?
Durchläuft eine Nutzerin die Prüfung, übermittelt Shibboleth einige personenbezogene Daten (= Attribute, d.h. bestimmte Eigenschaften einer Person) an den Anbieter der Konferenz-Software. Im Falle von Converia werden eine persönliche ID, die E-Mail-Adresse sowie der Nachname übertragen – somit weiß auch Converia, dass die Nutzerin einer bestimmten Organisation innerhalb der DFN-AAI-Föderation angehört. Der vollständige Login mit dem persönlichen Passwort wird hingegen nicht an uns gesendet, denn Shibboleth geht bei der Übertragung persönlicher Daten sehr sparsam und transparent vor. Das Passwort wird bei der Eingabe natürlich überprüft, allerdings geschieht das auf Rechnern, die zum Identity Provider gehören und nicht zu Converia. Auch danach erreicht uns das Kennwort nicht.
Jeder Diensteanbieter verpflichtet sich zudem vertraglich der Föderation gegenüber, alle Datenschutzbestimmungen einzuhalten. Kann der Anbieter das nicht sicherstellen, wird er gar nicht erst in den Verbund aufgenommen.
Und: Shibboleth ist zuverlässiger als so manche VPN-Verbindung, die auch dafür sorgt, dass interne Dienste einer Organisation von außerhalb (z.B. im Home-Office) verwendet werden können. Je nach Standort kann die VPN-Verbindung jedoch instabil sein und Verbindungsabbrüche zur Folge haben, was besonders bei Mobilgeräten häufig passiert. Shibboleth kennt solche Probleme nicht. Weiterhin ist es im Gegensatz zu VPN nicht erforderlich, vorab eine spezielle Software zu installieren, denn Shibboleth arbeitet onlinebasiert und unabhängig vom Gerät, mit dem sich jemand einloggt.
Funktioniert Shibboleth mit jeder Konferenz-Management-Software?
Dazu muss der Anbieter erst als offizieller Service Provider anerkannt und Teil einer Föderation sein. Ein Verzeichnis über alle Mitglieder des DFN-AAI-Verbundes gibt es hier. In der Liste der Service Provider ist auch Converia aufgeführt.
Warum sollte Shibboleth bei wissenschaftlichen Konferenzen zum Einsatz kommen?
Wissenschaftler*innen nutzen in der Regel viele Online-Anwendungen und besuchen pro Jahr die ein oder andere Konferenz. Wenn nicht jede ein Extra-Benutzerkonto erfordert und mit demselben Login verwaltet werden kann, bedeutet das viel weniger Aufwand. Gleichzeitig sind Personen, die den Single-Sign-on nutzen, wesentlich sicherer unterwegs, denn je seltener ein Passwort selbst eingegeben werden muss, desto weniger Gelegenheiten bieten sich Angreifern, die sensible Daten abfangen wollen.
Die Konferenzanmeldung per Shibboleth steht darüber hinaus allen offen, die bei einer Organisation innerhalb der Föderation tätig sind. Es spielt keine Rolle, an welcher Einrichtung jemand studiert oder arbeitet, solange diese zum Verbund gehört. Das erlaubt es einer Person, sich mit dem Login ihrer Berliner Universität bei einer Konferenz anzumelden, die von einer Hochschule in München organisiert wird.
Und: Shibboleth ist Open Source, weshalb der Einsatz für Organisationen kostenlos ist. Das System finanziert sich über Spenden und kostenpflichtige Mitgliedschaften, die vor allem für mitgliederstarke Einrichtungen sinnvoll sind, die Shibboleth großflächig im Einsatz haben.
Schnelles & sicheres Anmelden
Insgesamt ist der Shibboleth-Login bei Konferenzen eine schnelle und sichere Alternative zum Standard-Registrierungsprozess. Teilnehmende müssen sich nicht unzählige Passwörter merken oder notieren und die Zugangsdaten bleiben gegenüber den Diensteanbietern geheim.
Natürlich ist es aber auch weiterhin möglich, sich auf dem Standardweg ein Converia-Nutzerkonto einzurichten, und das Anmelden per DFN-AAI immer nur eine Option, keine Pflicht. Die allermeisten Konferenzen stehen schließlich auch Interessierten aus anderen Bereichen als Wissenschaft und Forschung offen.