Schritt 1: Aufruf der Applikation

Sie greifen auf eine Webapplikation oder Website, die eine Authentifizierung erfordert zu. Im Shibboleth-Umfeld wird ein solches System als 'Service-Provider / SP' bezeichnet.

Anstatt direkt eine Abfrage nach Username und Passwort durchzuführen, werden sie vom Service-Provider auf das BOKU-Single-Sign-On weitergeleitet! Im Rahmen dieser Weiterleitung wird über den Browser ein verschlüsselter 'Authentication request' mitgesendet. In diesem Authentication Request sind im wesentlichen die Informationen über das System, dass die Authentifizierungsinformationen benötigt, enthalten.

Schritt 2: Authentifizierung

Das BOKU-Single-Sign-On - System prüft, ob der Authentication Request von einer legitimen Quelle stammt und präsentiert ein Login-Formular. Dieses System wird im Shibboleth-Umfeld als 'Identity Provider / IdP' bezeichnet.

Im Login-Formular wird Ihnen im linken Bereich angezeigt, für welches System (SP) Sie sich gerade authentifizieren. Im Beispiel wäre das das u:book - Webforum.

Nach der gültigen Eingabe von Username und Passwort ermittelt der Identity Provider die Daten, die für die Nutzung des Service Providers notwendig sind. In den meisten Fällen sind das Name und e-Mail-Adresse, die Art der Zugehörigkeit zur BOKU (Studierende/MitarbeiterInnen) sowie eine für den Service Provider spezifische Personen-ID, die nur von den Systemen an der BOKU verarbeitet werden kann. 

Schritt 3: Weiterleitung zum Service Provider

Nach der gültigen Authentifizierung werden die benötigten Informationen verschlüsselt und über den Browser an den Service Provider weitergeleitet. Der Service Provider muss den übermittelten Informationen vertrauen, da er ja keinen direkten Zugriff auf die Daten hat. Die Sicherstellung der Authentizität erfolgt durch die Verwendung von asymmetrischen Verschlüsselungsverfahren. 

Eine detaillierte Beschreibung der Funktionsweise von Shibboleth finden Sie zB. hier: https://www.switch.ch/aai/demo/2/medium.html.