Zentraler Informatikdienst der TU Wien
> Zum Inhalt

ZID Authentifizierungsservice

Um das TU-Passwort zur Anmeldung bei verschiedenen Services einsetzen zu können, dürfen die Passworte der Benutzer den einzelnen Servicebetreibern nicht bekannt werden. Eine Klartextübertragung ist selbstverständlich auch zu vermeiden. Für Web-Anwendungen wird daher ein Authentifizierungsserver bereitgestellt, der den Benutzer nach erfolgreicher Authentifizierung zum jeweiligen Anwendungsserver weiterleitet.

Der Benutzer kann wählen, ob der Adressmanager sein TU-Passwort setzen kann. Standardeinstellung ist, dieses zu erlauben.

Optional kann die Anmeldung mittels der Handy-Signatur erfolgen.

Über das Authentifizierungsportal wird Single Sign-On und Single Sign-Off angeboten. Optional kann eine Zwei-Faktor-Authentifizierung aktiviert werden.

Für SAML2 Service Provider (u:book Aktion, USI Anmeldung etc) wird ein Identity Provider betrieben, der an das Authentifizierungsportal gekoppelt ist.

Aufruf

Der Single Sign-On URL lautet
 iu.zid.tuwien.ac.at/AuthServ.authenticate?app=n

Ein optionales Feld param wird an den Anwendungsserver durchgereicht.

Wenn das Portal in Ausnahmefällen nicht verwendet werden kann, muss ein eigenes Anmeldeformular bereitgestellt werden.

Antwort

Der Redirect-URL hat die Form:

host/pathsessionKey wird als HMAC-SHA1 mit dem Schlüssel appServerSecret über die Attributwerte und den timeStamp gebildet. Er wird im URL als Hex-String formatiert. Diese Methode ist kryptographisch etwas robuster als das frühere Verfahren, das für bestehende Anwendungen weiterhin angeboten wird.

Attribute: Die ausgewählten Attribute in der bei der Serviceanmeldung definierten Reihenfolge.

timeStamp: Die Zeit in Sekunden seit 1.1.1970 0:0:0 UTC (Unix time), ganzzahlig dividiert durch 10. Die Division vermindert die Anforderungen an die Synchronisation der Server.

appServerSecret: Ein gemeinsames Geheimnis zwischen dem Authentifizierungsserver und dem jeweiligen Anwendungsserver.

Der Anwendungsserver bildet ebenfalls den HMAC und vergleicht mit dem übergebenen sessionKey. Dabei ist zu berücksichtigen, dass die Uhren der Server u.U. nicht perfekt synchronisiert sind und daher beim timeStamp auch Werte vor und nach der aktuellen Zeit probiert werden müssen.

Siehe auch: Programmbeispiel

Verfügbarkeit

Es wird eine Verfügbarkeit von besser als 99,9% während der üblichen Dienstzeiten, 99% außerhalb, angestrebt.

Anmeldung

Um eine Anwendungsnummer und das zugehörige Geheimnis zu erhalten, sind dem ZID folgende Daten zu melden:

  1. das Institut
  2. die Bezeichnung der Anwendung
  3. die verantwortliche Kontaktperson
  4. der URL des Services (immer https !)
  5. welche Attribute benötigt werden

Die Konfigurationsdaten können dann über https://iu.zid.tuwien.ac.at/AuthServ.clientSetup abgefragt werden. Die SSO Einstellungen können von der verantwortlichen Kontaktperson selbst im Authentifizierungsportal vorgenommen werden.