Häufig gestellte Fragen zu Shibboleth (DFN-AAI)
Was ist Shibboleth (DFN-AAI)?
Shibboleth (DFN-AAI) ist eine virtuelle Infrastruktur, die- beginnend in 1998 -von der in Amerika ansässigen Internet2 Community / MACE Group (http://www.internet2.edu) entwickelt wurde. Man wollte ein einfaches und transparentes, zugleich aber sicheres Verfahren zur eindeutigen Authentifizierung und Autorisierung von Personen haben, um verteilte lizenzierte Webanwendungen zu nutzen.
Der Begriff Shibboleth (DFN-AAI) geht auf das hebräische Wort Schibboleth (hebr. שבולת) zurück und wird heute im Sinne von Codewort oder Kennwort verwendet.
Was sind die Vorteile von Shibboleth (DFN-AAI)?
Universitäten bieten neben frei zugänglichen Informationen und Anwendungen auch eine Vielzahl an kommerziellen Netzpublikationen an, die sie von Verlagen und anderen Anbietern kaufen oder lizenzieren. Auf diese dürfen i.d.R. nur Mitarbeitende und Studierende der jeweiligen Universität als berechtigte Nutzende zugreifen. Außerdem externe Nutzerinnen und Nutzer, soweit sie sich in den Räumen der Bibliothek aufhalten (Walk in User). Shibboleth (DFN-AAI) ist eine browserbasierte Infrastruktur, die das sichere Authentifizieren von Personen und die Vergabe von Berechtigungen vereinfacht und verschlankt. Nutzerinnen und Nutzer brauchen sich nur an einer Stelle anzumelden - über die jeweilige Heimatuniversität - und können anschließend auf viele verschiedene Services und Netzpublikationen zugreifen. Man spricht auch von Single-Sign-On (SSO). Hierbei ist es völlig unerheblich, welches Endgerät verwendet wird.
Wer nutzt Shibboleth (DFN-AAI)?
Shibboleth (DFN-AAI) wird vor allem im Bereich der höheren Bildungseinrichtungen eingesetzt, also im Bereich der Universitäten, der wissenschaftlichen Verlage und anderer Anbieter wissenschaftlicher Inhalte.
Was benötige ich für den Zugang über Shibboleth (DFN-AAI)?
Um sich mit Shibboleth (DFN-AAI) zu authentifizieren, benötigen Sie Ihren gültigen Uni-Account, d.h. den Zugang, den Sie bei Aufnahme Ihres Studiums oder Ihrer Tätigkeit vom Zentrum für Informations- und Medientechnische Dienste (ZIM) der Universität Paderborn erhalten haben (vgl. a. https://imt.uni-paderborn.de/uni-account/).
Was bedeutet WAYF?
WAYF steht für die Frage: Where are you from? Der Dienst bzw. das Formular ist als Einstieg in Shibboleth (DFN-AAI) von den Verlagen als Service Provider eingerichtet. Wählen Sie hier ihre Heimateinrichtung aus: Universität Paderborn / Universitätsbibliothek Paderborn (es gibt variierende Bezeichnungen, auch in Englisch). Von hier aus gelangen Sie anschließend auf das Anmeldeformular für Ihren Uni-Account.
Was bedeutet DFN-AAI?
Alle am Shibboleth (DFN-AAI)-System teilnehmenden Universitäten und Verlage müssen in einer übergeordneten Föderation Mitglied sein. Die Föderationen sind landesspezifisch und regeln über verbindliche rechtliche und technische Standards die Zusammenarbeit aller teilnehmenden Partner. In Deutschland ist dies der Verein zur Förderung eines Deutschen Forschungsnetzes – DFN-Verein. Die Struktur, innerhalb der dies geschieht, ist die sogenannte Authentifizierungs- und Autorisierungsinfrastruktur, kurz: DFN-AAI. (vgl. a. https://www.aai.dfn.de/).
Wie funktioniert Shibboleth (DFN-AAI)?
In der Shibboleth (DFN-AAI)-Konzeption spielen drei Parteien eine Rolle:
- Die Person, die eine Berechtigung besitzt, lizenzierte Netzpublikationen und Services zu nutzen. An der Universität Paderborn sind dies die Mitarbeitenden und Studierenden. Sie werden als Mitglied definiert = member@uni-paderborn.de. Personen mit dem Status GAST sind nicht als berechtigte Nutzende eingestuft.
- Die Einrichtung - Universität Paderborn -, zu der die betreffende Person gehört und die lizenzierte Netzpublikationen und Services zur Verfügung stellt. Sie authentifiziert den Nutzenden und vergibt Rechte. Sie ist der Identity Provider - IdP.
- Der Anbieter oder Verlag, der Inhalte und Netzpublikationen bereitstellt. Er überprüft die Berechtigung sowohl der lizenzierenden Einrichtung als auch der nutzenden Person und gibt den Zugriff auf eine kommerzielle Netzressource frei. Er ist der Service Provider - SP.
Was ist Single-Sign-On (SSO)?
Das Single-Sign-On-Verfahren ermöglicht, mit einer einmaligen Anmeldung über Ihren persönlichen Uni-Account innerhalb einer Browser-Sitzung auch andere lizenzierte Netzpublikationen zu nutzen. Ihre Browsereinstellungen müssen dafür Cookies erlauben.
Sie haben sich z.B. für ScienceDirect über Shibboleth (DFN-AAI) mit Ihrem Uni-Account angemeldet. Im Zuge Ihrer Recherchen werden Ihnen weiterführende Literaturstellen angeboten, z.B. ein Volltext, der unter SpringerLink verankert ist. Eine erneute Anmeldung bei SpringerLink ist nun nicht mehr notwendig, sofern Ihre Browser-Sitzung aktiv bleibt. Ggf. erfolgt lediglich noch einmal die Abfrage der Institution (Where are you from?).
Welche Daten überträgt Shibboleth (DFN-AAI)?
Die Universität Paderborn als Shibboleth (DFN-AAI)-Identity-Provider hat das Verfahren so konfiguriert, dass die Mindestanforderungen der Autorisierungs- und Authentifizierungs-Infrastruktur des Deutschen Forschungsnetzes DFN-AAI eingehalten werden. Dabei werden i.d.R. keine persönlichen Daten, wie z.B. Namen oder E-Mail-Adresse übertragen, sondern Ihr zugewiesener Status und ein damit verbundener Wert. Basis dieses Wertes ist ein Vertrag, den sowohl der Identity Provider - die Universität Paderborn - als auch die verschiedenen Service Provider - die Verlage - über die übergeordnete Föderation - die DFN-AAI - miteinander geschlossen haben. Das sind die sogenannten Common-lib-terms.
Mitarbeitende und Studierende der Universität Paderborn besitzen den Status „Mitglied“: member@uni-paderborn.de. Flankierend wird der folgende Wert übertragen: urn:mace:dir:entitlement:common-lib. Beides zusammen indiziert einem Service Provider verbindlich, dass die Universität Paderborn einem Mitarbeitenden oder einem Studierenden die Berechtigung zur Nutzung der jeweiligen Netzressource gegeben hat.
Ausnahme: Nutzung der Plattform "DATEV Students online" . Die Plattform stellt u.a. E-Learning Anwendungen zur Verfügung für die Zertifikate ausgestellt und elektronisch versendet werden. Folgende (persönliche) Daten werden übertragen: Name, Vorname, Universitäts-Mail-Adresse. Die übertragenen Daten werden im Shibboleth-Anmeldeprozess angezeigt und vom Nutzenden bestätigt. Die Speicherung kann jederzeit widerrufen werden.
Ich erhalte keinen Zugriff über Shibboleth (DFN-AAI). Was ist der Grund?
Ressourcen und Dienste müssen lizenziert sein
Der Zugriff über Shibboleth (DFN-AAI) funktioniert nur, wenn das gewünschte Informationsmedium von der Universitätsbibliothek Paderborn lizenziert ist. Ohne eine Lizenz wird der Zugriff auf E-Books, E-Journals und Datenbanken verweigert. Informationen zum Lizenzstatus erhalten Sie über unseren Katalog, über die Elektronische Zeitschriftenbibliothek EZB oder über das Datenbankinfosystem DBIS.
Es muss eine gültige Mitgliedschaft in der Föderation bestehen
Der Anbieter oder Verlag muss als Service Provider Mitglied in der Föderation DFN-AAI sein und die verbindlichen Rahmenbedingungen für die Zusammenarbeit anerkennen sowie unterzeichnen. Erst dann wird er für die Shibboleth (DFN-AAI)-Nutzung freigeschaltet.
Cookies müssen erlaubt sein
Shibboleth (DFN-AAI) funktioniert nur, wenn das Setzen von Cookies an Ihrem verwendeten Endgerät zugelassen ist. Überprüfen Sie im Zweifelsfall Ihre Browsereinstellungen, ob dies der Fall ist. Wenn nicht, muss diese Einstellung zwingend vorgenommen werden.
Ich finde meine Institution – die Universität / Universitätsbibliothek Paderborn – nicht in der Liste der Heimatinstitutionen.
Die Listung der Verlage, in denen die Heimatinstitutionen aufgeführt werden, ist der sogenannte WAYF-Dienst (=Where are you from?). Dieser kann bei jedem Verlag anders aufgebaut sein und unterschiedliche Begrifflichkeiten sowohl in deutscher als auch in englischer Sprache enthalten.
Stellen Sie sicher, dass Sie die richtige Länderauswahl getroffen haben = Germany / German Higher Education / oder: DFN-AAI.
Folgende Begrifflichkeiten werden zur Bezeichnung der Heimatinstitutionen verwendet: Universität / University / Universitätsbibliothek / Hochschule. Hierbei variiert die alphabetische Reihenfolge sehr stark. Bei einigen WAYF-Diensten ergibt sich an dieser Stelle eine gewisse Unübersichtlichkeit. Teilweise gibt es jedoch Suchschlitze, in denen man das Stichwort PADERBORN eingeben kann und so schnell fündig wird.
Hinweis: Sollte die Universität Paderborn in einem WAYF-Dienst tatsächlich nicht gelistet sein, gibt es evtl. keine aktive Lizenz zu diesem Informationsmedium oder der Verlag ist für den Shibboleth (DFN-AAI)-Dienst noch nicht eingerichtet.
Wie beende ich eine Shibboleth (DFN-AAI)-Sitzung?
Beenden Sie unbedingt Ihre aktive Shibboleth (DFN-AAI)-Sitzung! Schließen Sie dafür den Browser komplett - inklusive aller offenen TABS. An öffentlich zugänglichen PCs löschen Sie bitte auch den Cache und die Cookies. Nur so ist garantiert, dass kein Zweiter Ihren persönlichen Uni-Account nutzt.
Was ist der Unterschied zwischen Shibboleth (DFN-AAI) und VPN ?
Shibboleth (DFN-AAI) und VPN sind Verfahren, die den Zugriff von außerhalb des Hochschulnetzes auf lizenzierte Netzpublikationen und Services ermöglichen. Es handelt sich um zwei gänzlich unterschiedliche Systeme:
Beim Zugang über VPN muss zuvor ein Client heruntergeladen und auf einem bestimmten Endgerät installiert werden. Man verbindet damit zwei Netze sicher und verschlüsselt. VPN ermöglicht den Zugriff auf das Hochschulnetz in seiner Gesamtheit. Wiederholte Anmeldungen für unterschiedliche Angebote oder Anwendungen sind nicht notwendig.
Da die VPN-Nutzung die Installation einer speziellen Software (VPN-Client) erfordert, ist die Nutzung abhängig vom jeweiligen Endgerät, auf dem der VPN-Client installiert ist.
Beim Zugang über Shibboleth (DFN-AAI) nutzt man ein internetbasiertes Verfahren, indem man sich über seinen Uni-Account in die gewünschte Netzressource einloggt = Institutional Login / Login über die eigene Institution.
Shibboleth (DFN-AAI) kann unabhängig von Endgeräten und einer auf diesen Endgeräten installierten Software genutzt werden.
Shibboleth ermöglicht keinen Zugang zum Hochschulnetz als Gesamtheit, sondern Zugang über Anbieter (z.B. Verlage) und ihre Produkte, die jedoch i.d.R. im Wege des Single-Sign-On (SSO) häufig übergreifend genutzt werden können. Gelegentlich ist eine erneute Anmeldung beim Wechsel von verschiedenen Angeboten (z.B. beim Zugriff auf die Inhalte mehrerer Verlage) erforderlich.
Ich habe ein Problem mit Shibboleth? Wer hilft mir weiter?
Bitte wenden Sie sich bei Problemen an erwerbung@ub.uni-paderborn.de.