INTEGRATION VON SHIBBOLETH IM VERBUND DER VIRTUELLEN HOCHSCHULE BAYERN Ver. 1.6, 19.04.2012 (jeweils aktuelle Fassung unter: http://www.vhb.org/aai) Virtuelle Hochschule Bayern Dipl.-Inf. Alexander Hummel technik@vhb.org
Inhaltsverzeichnis Inhaltsverzeichnis Inhaltsverzeichnis... 2 1. Vorbemerkung... 3 2. Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb... 4 2.1. Hintergrund... 4 2.2. Anwendungsgebiete... 4 2.2.1. Elektronische Authentifizierung... 5 2.2.2. Registrierung neuer Studierender... 5 2.2.3. Login am vhb-portal... 6 2.2.4. Kursbuchung... 6 2.2.5. Kurszutritt... 7 2.3. Voraussetzungen an der Heimathochschule des Studierenden... 7 2.3.1. Datenquelle für Shibboleth-IdP... 7 2.3.2. Standort des Shibboleth-IdP... 8 2.3.3. Übernahme der Kursbuchungsdaten in das Hochschulverzeichnis... 8 2.4. Voraussetzungen am Learning-Management-System einer Trägerhochschule... 8 2.5. Schematischer Aufbau der beteiligten Systeme... 9 3. Technische Dokumentation... 11 3.1. Einrichtung der shibboleth-basierten Systeme... 11 3.1.1. Service Provider... 11 3.1.2. Identity Provider... 11 3.1.3. Freigaben an den Systemen... 12 3.2. Datenschemata... 12 3.3. Ergänzung der Datenschemata... 13 3.4. Datenflüsse... 14 3.4.1. Authentifizierung (Neuregistrierung, Rückmeldung)... 14 3.4.2. Registrierung neuer Studierender... 15 3.4.3. Login am vhb-portal... 16 3.4.4. Kursbuchung... 16 3.4.5. Kurszutritt... 17 4. Schlussbemerkung... 20 5. Literaturverzeichnis... 21 6. Abbildungsverzeichnis... 22 Notizen... 23 2
Vorbemerkung 1. Vorbemerkung Die Virtuelle Hochschule Bayern (vhb) ist ein Verbundinstitut der Universitäten und Hochschulen für angewandte Wissenschaften des Freistaats Bayern und von fünf weiteren staatlich anerkannte Hochschulen Bayerns. Sie fördert und koordiniert die Entwicklung und den Einsatz von bedarfsgerechten Online-Lehrangeboten, welche immatrikulierte bayerische Studierende entgeltfrei nutzen können. Die Buchung der Kurse erfolgt nach der Registrierung und Authentifizierung auf dem Portal der vhb. Die im Einsatz befindlichen Kurse liegen auf den Learning-Management-Systemen (LMS) der Trägerhochschulen. Um die Nutzung dieses Angebots für alle Studierenden so einfach und komfortabel wie möglich zu gestalten, soll ein föderationsweites Single-Sign-On (SSO) Zugangssystem eingesetzt werden, mit dem die Studierenden das vhb-portal und die eingesetzten LMS unter Verwendung ihrer persönlichen Hochschulkennung betreten können. Da die Nutzung der Onlinekurse die Weitergabe personenbezogener Daten aus den studentischen Verzeichnissen der Heimathochschulen erfordert, müssen die Datenweitergabemechanismen zur Authentifizierung und Autorisierung den Datenschutzbestimmungen entsprechen. Gleichzeitig sind alle Beteiligten bestrebt, bei der Einrichtung der Systeme so weit möglich Standardsoftware einzusetzen und nur in Ausnahmefällen Eigenlösungen zum Einsatz zu bringen. Da heute vor allem im Hochschulbibliotheksbereich die Authentifizierungs- und Autorisierunginfrastruktur (AAI) über Shibboleth an den Hochschulen weit verbreitet ist und gleichzeitig auch durch das Deutsche Forschungsnetz (DFN) hinreichend unterstützt wird, fiel die Wahl auf diese Technologie. Hauptaugenmerk bei Planung und Einführung des Verbundsystems lag und liegt auch heute - darauf, dass allen Studierenden, egal welcher Heimathochschule sie angehören, durchgehend voller Zugriff auf das gesamte vhb-kursangebot ermöglicht werden soll. Dies macht bis zur vollständigen Integration einer SSO Lösung auf Basis von Shibboleth die parallele Weiternutzung vorhandener Schnittstellen sowie die schrittweise Umsetzung notwendig. 3
Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb 2. Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb 2.1. Hintergrund Die geplante Integration einer Single-Sign-On (SSO) Lösung für die Nutzung aller Dienste der Virtuellen Hochschule Bayern (vhb) auf Basis von Shibboleth hat nicht nur auf die vhb-systeme, sondern zwangsläufig auch auf die Identity Management Systeme (IdM) der Hochschulen und Learning-Management-Systeme (LMS) der Anbieter direkten Einfluss. Das vorliegende Dokument beschreibt den im Zuge eines vom Bayerischen Staatsministerium für Wissenschaft, Forschung und Kunst organisierten Treffens mit den vhb-trägerhochschulen abgesprochenen Lösungsweg sowie die nötigen Informationsflüsse zwischen den Systemen. Hingewiesen wird zudem auf die Möglichkeiten für die Nutzer, die Datenweitergabe zwischen den Systemen einzuschränken, sowie auf die hieraus resultierenden Auswirkungen. Da die Integration von Shibboleth in die Betriebsabläufe der vhb teilweise weitreichender Systemanpassungen bedarf, wird diese schrittweise vollzogen. Über die jeweils aktuellen Entwicklungen informieren die Beteiligten regelmäßig im Arbeitskreis MetaDirectory / AAI 1. 2.2. Anwendungsgebiete Der Einsatz von Shibboleth erscheint in vier Teilworkflows der vhb-abläufe als geeignet, die sich in zwei Gruppen einordnen lassen: Gruppe 1: Im Falle der Elektronischen Authentifizierung (vgl. hierzu 2.2.1), der Registrierung neuer Studierender (vgl. 2.2.2) und beim Login am vhb-portal (vgl. hierzu 2.2.3) tritt die vhb mit ihrem Kursportal 2 selbst als Shibboleth Service-Provider (SP) auf und greift zu Authentifizierungszwecken auf die Daten aus dem Shibboleth Identitiy Provider (IdP) der Heimathochschule des Studierenden zu. Gruppe 2: Bei der Buchung von Onlinekursen auf dem vhb-portal liefert die vhb ihrerseits die für die Abwicklung des Kurszutritts (vgl. hierzu 2.2.4) notwendigen Kursbuchungsdaten an die Heimathochschulen aus. Diese Informationsweitergabe ist 1 Weitere Infos: http://www.rz.uni-wuerzburg.de/wir/arbeitskreise/ak_bay_metadir/ 2 Das vhb-kursportal ist unter der Adresse http://kurse.vhb.org erreichbar. 4
Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb derzeit nicht via Shibboleth abbildbar und musste daher über eine eigene Schnittstelle realisiert werden. 2.2.1. Elektronische Authentifizierung Ein erfolgreicher Nachweis der Immatrikulierung an einer bayerischen Hochschule ist Voraussetzung für die entgeltfreie Nutzung der über die vhb angebotenen Kurse. Aus diesem Grund müssen alle Studierenden sowohl im Verlauf der Erstregistrierung auf dem vhb-portal sowie in jedem Folgesemester die Immatrikulation durch eine entsprechende Authentifizierung nachweisen. Derzeit erfolgt dieser Nachweis entweder durch Einsendung einer Immatrikulationsbescheinigung oder unter Verwendung einer proprietären Authentifizierungsschnittstelle, die durch die Shibboleth-Authentifikation abgelöst werden soll. Sobald der Studierende aus dem vhb-portal heraus die Authentifizierung seines vhb- Accounts auslöst, werden die benötigten Attribute aus der bereits gültigen Shibboleth- Session vom Identity Provider seiner Heimathochschule angefordert und an die vhb übertragen. Besteht zu diesem Zeitpunkt keine Shibboleth-Session, wird diese neu mit Hilfe der Hochschulkennung initiiert. Positiv wirkt sich im Falle einer bereits bestehenden aktiven Shibboleth-Session aus, dass die Authentifizierung für den Studierenden im Hintergrund abläuft, sobald dieser im vhb- Portal die entsprechende Schaltfläche auslöst. Die noch an einigen Hochschulen vorhandene proprietäre vhb- Authentifizierungsschnittstelle soll zeitnah durch die Authentifizierung via Shibboleth ersetzt werden, da dann der Wartungsaufwand der Schnittstelle auf Seiten der Hochschule entfällt. 2.2.2. Registrierung neuer Studierender Alle Personen, die die Angebote der vhb nutzen wollen, müssen sich zunächst auf dem Portal der vhb registrieren. Im Rahmen der Neuanmeldung werden die persönlichen Daten der Studierenden sowie deren Heimathochschule und Studiengangsinformationen erfasst. Die Erhebung und Weitergabe der Daten ist in der Benutzungsordnung 3 geregelt, deren Anerkennung zwingende Voraussetzung für die Registrierung an der vhb ist. Sobald der neue Nutzer sich via Shibboleth durch den Identity Provider der eigenen Hochschule authentifiziert und die Registrierung im Portal der vhb beginnt, werden die 3 Siehe: http://www.vhb.org/fileadmin/download/benutzungsordnung.pdf 5
Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb persönlichen Daten des Studierenden direkt aus dem Hochschul-IdM in das Registrierungsformular übernommen. Sofern es sich bei dem neuen Nutzer um einen entgeltpflichtigen Nutzer handelt, tritt die vhb selbst als Identity Provider dieses Nutzers auf. Es steht jedem Nutzer frei, der Weitergabe der persönlichen Daten (je nach technischer Realisierung teilweise oder ganz) zu widersprechen und diese wie bisher manuell einzutragen. 2.2.3. Login am vhb-portal Kursbuchungen im Portal der vhb sind ausschließlich aus dem persönlichen Desktop der Studierenden möglich. Der Zugang hierzu ist erst nach erfolgreicher Registrierung und dem Login auf dem vhb-portal möglich. Der Zutritt erfolgt entweder durch Eingabe der persönlichen Nutzerkennung und des vergebenen Passwortes oder durch eine bereits vorhandene bzw. neu initiierte Authentifizierung via Shibboleth. Im Falle der Nichtverfügbarkeit des Heimathochschul- Identity Providers steht der manuelle Login ersatzweise zur Verfügung. 2.2.4. Kursbuchung Die Studierenden sind nach erfolgter Registrierung am vhb-portal und Login in den persönlichen Desktop sofort in der Lage, Onlinekurse aus dem vhb-kursangebot zu buchen. Da sich Studierende einiger Hochschulen noch immer über das papiergebundene Verfahren authentifizieren müssen, ist die Buchung innerhalb einer Frist von 20 Tagen sogar ohne erfolgreiche Authentifizierung durch die Heimathochschule möglich. Alle Kursbuchungen werden innerhalb des Systems der vhb gespeichert und gleichzeitig elektronisch an das Identity Management der Heimathochschule des Nutzers übertragen (vgl. hierzu insbesondere 2.3.3 und 3.4.4). Im Falle entgeltpflichtiger Nutzer tritt die vhb selbst als Heimathochschule auf. Neben der Buchung von Kursen wird auch die Abmeldung von Kursen an die Heimathochschule weitergegeben. Um mögliche Übertragungsfehler zu korrigieren, werden in definierten Zeitintervallen Synchronisierungsläufe durchgeführt. Da die Übertragung der Kursbuchungsdaten nicht via Shibboleth abbildbar ist, wird diese über eine proprietäre XML-Schnittstelle 4 realisiert. 4 Vgl. Dr. Ebner, Ralf / Hummel, Alexander: Ein Webservice zur Kursdatenübermittlung zwischen vhb und Hochschul-IDM Systemen, München 2011. 6
Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb 2.2.5. Kurszutritt Nach erfolgreicher Buchung des Onlinekurses im persönlichen Desktop des Studierenden kann der auf dem Server der Trägerhochschule liegende Kurs direkt aus dem vhb-portal heraus betreten werden. Alternativ kann der Nutzer auch den entsprechenden Direktlink zum Learning-Management-System in seinem Browser eingeben. In beiden Fällen werden die zum Zugang notwendigen Attributsdaten in der über die Heimathochschule des Studierenden initiierten Shibboleth-Session übertragen. Bereits bestehende vhb-kurse, die auf einer LMS-Plattform ohne Shibboleth- Unterstützung gehostet sind, lassen sich weiterhin direkt aus dem vhb-portal heraus oder durch manuelles Einloggen am LMS betreten. 2.3. Voraussetzungen an der Heimathochschule des Studierenden Die Nutzung der Authentifizierungs- und Autorisierungsinfrastruktur (AAI) des Deutschen Forschungsnetzes (DFN) 5 setzt an der Hochschule des Studierenden die Teilnahme am DFN AAI Dienst sowie das Vorhandensein eines Shibboleth Identity Providers (IdP) voraus. Dieser liefert dann der vhb sowie den der Föderation angeschlossenen Learning- Management-Systemen (LMS) die persönlichen Daten der Studierenden sowie die Kursbuchungsdaten. Die Buchung der Kurse erfolgt ausschließlich direkt im Portal der vhb. Die Kursbuchungsdaten werden parallel vom vhb-portal an den IdP der Heimathochschule des Studierenden übertragen und dann von diesem zentral an alle LMS der Anbieterhochschulen weitergegeben. 2.3.1. Datenquelle für Shibboleth-IdP Die für den IdP benötigten studentischen Daten können hierbei beispielsweise aus einem schon vorhandenen campusweiten Identity Management System (IdM) stammen. Sofern an der Hochschule ein solches System noch nicht vorhanden ist, lassen sich die Daten auch anderweitig aus einem Verzeichnis mit Studierendendaten (z. B. Datenbank, LDAP Verzeichnis) über den Shibboleth-IdP ausliefern. 5 Weitere Infos: https://www.aai.dfn.de/der-dienst/ 7
Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb 2.3.2. Standort des Shibboleth-IdP Den teilnehmenden Hochschulen steht es hierbei frei, entweder einen eigenen Shibboleth-IdP Dienst zu betreiben oder die Möglichkeit eines ausgelagerten IdPs 6 des DFN Vereins zu nutzen. Beim Betrieb eines eigenen IdPs liegt die Anbindung der Quellsysteme und die Wartung des Systems im Verantwortungsbereich der Hochschule. Im Zuge des DFN-Dienstes erhalten die Hochschulen umfassend Unterstützung bei der Anbindung ihres Quellsystems an die durch den DFN Verein gehosteten Shibboleth Identity Provider. Die Voraussetzungen zur Nutzung dieses Dienstes sind in der jeweils gültigen Fassung der Webseite des DFNs zu entnehmen. Nach aktuellem Stand sind ausschließlich LDAP- Verzeichnisse für die Nutzung des ausgelagerten IdPs vorgesehen. Beide Betriebsarten des Shibboleth-IdPs ermöglichen dann die Nutzung der Angebote der vhb-trägerhochschulen sowie weiterer Service Provider im DFN Verbund. 2.3.3. Übernahme der Kursbuchungsdaten in das Hochschulverzeichnis Die Übernahme der Kursbuchungsdaten vom vhb-portal in das Verzeichnis der Studierenden an der Heimathochschule kann nicht mittels Shibboleth erfolgen. Deshalb kommt hier eine XML-Schnittstelle zum Einsatz, die mittels eines Skriptes die vhb-daten entgegennimmt und entweder direkt in die Verzeichnisstruktur oder in eine Event- bzw. Changelog-Datei schreibt. Diese Datei lässt sich dann in das eigene IDM (z. B. Novell IDM-Treiber) einlesen und nach Auswertung in die Verzeichnisstruktur schreiben. Bei der Anpassung der Beispielimplementierung (Perl, Apache, Linux) an spezielle Skriptsprachen, Webserver oder Betriebssysteme werden die Hochschulen nach Möglichkeit unterstützt. 2.4. Voraussetzungen am Learning-Management-System einer Trägerhochschule Sofern ein Learning-Management-System am Single-Sign-On Verbund teilnehmen will, muss dieses System als Service Provider (SP) dem DFN AAI Verbund beitreten. Weiterhin muss das LMS eine shibbolethbasierte Authentifizierung ermöglichen und die von der vhb gelieferten Kursbuchungsdaten den internen Kurs-IDs zuordnen können. 6 Weitere Infos: https://www.aai.dfn.de/der-dienst/ausgelagerter-idp/ 8
Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb Neben der dargestellten Authentifizierungs- und Autorisierungstechnik via Shibboleth bleiben im Verbund der vhb die bisherigen Verfahren zum Kurszutritt weiterhin im Einsatz. Aus Sicht der vhb ist hier eine Umstellung auf Shibboleth bis auf weiteres nicht zwingend notwendig, kann aber den Pflegeaufwand der Authentifizierungsschnittstellen auf allen Seiten erheblich reduzieren. Gleichzeitig zeigten erste Testeinsätze aber auch neue durch das Nutzerverhalten verursachte Probleme, wenn beispielsweise mehrere Nutzer einen Computer parallel zum Arbeiten nutzen. 2.5. Schematischer Aufbau der beteiligten Systeme Das folgende Schaubild verdeutlicht den grundsätzlichen Datenfluss zwischen den Systemen der vhb als Information Broker, der Heimathochschule des Studierenden und den Learning-Management-Systemen der Trägerhochschulen (Kursanbieter): Abbildung 1: Schematischer Aufbau der Systeme Die Erhebung der studentischen Daten erfolgt im Zuge der Neuregistrierung des Studierenden auf dem Portal der vhb. Sofern die Heimathochschule des Studierenden die shibboleth-gestützte Registrierungsschnittstelle benutzt, werden die studentischen Daten (soweit durch den Nutzer freigegeben) direkt aus dem Identity Provider der Heimathochschule an die vhb übertragen. Kursbuchungen erfolgen direkt und ausschließlich im Portal der vhb. Nach der Kursbuchung werden die Kursbuchungsdaten im System der vhb gespeichert und 9
Konzeptuelle Beschreibung des Shibboleth-Verbundes der vhb zusätzlich an das Verwaltungssystem der Heimathochschule des Studierenden ausgeliefert. Authentifiziert sich ein Studierender im Anschluss an die Kursbuchung durch Login am IdP der Heimathochschule, wird seine Shibboleth-Session um die Kursbuchungsdaten ergänzt. Diese Session wird dann verwendet, um auf die in den LMS der Trägerhochschulen bereit gestellten Kursinhalte zugreifen zu können. 10
Technische Dokumentation 3. Technische Dokumentation Die folgende technische Dokumentation soll keine vollständige Installationsanleitung für shibboleth-basierte Systeme vorgeben, sondern vordringlich die aktuell in der vhb eingesetzten Softwarepakete und die Datenflüsse zwischen den beteiligten Systemen beschreiben. Verweise auf entsprechende Internetseiten des Deutschen Forschnungsnetzes (DFN) und im Rahmen der Entwicklung Beteiligter sollen ergänzend Hilfestellungen zu eigenen Installationen geben. 3.1. Einrichtung der shibboleth-basierten Systeme Eine gute Übersicht unterschiedlicher Konfigurationen von Installationen shibbolethbasierter Systeme bietet die Dokumentationswebseite 7 des DFN. Hier finden sich auch zahlreiche Verweise zu weiteren Installationsanleitungen. Zudem ist die Anmeldung 8 zur Teilnahme an der DFN-AAI-Föderation direkt möglich. Die vhb setzt produktiv Shibboleth in der aktuellen Version 2.x ein. 3.1.1. Service Provider Das Kursprogramm 9 der vhb bildet im Sinne von Shibboleth einen Service Provider, der seine Anfragen bezüglich studentischer Daten an die Identity Provider der Heimathochschulen der vhb-nutzer stellt. Dieser ist Teil der DFN-AAI und der DFN-AAI- Test Föderation. Im Sinne des Shibboleth-Verbundes bilden die Learning-Management-Systeme an den Anbieterhochschulen die Service Provider. 3.1.2. Identity Provider Weiterhin betreibt die vhb zwei Identity Provider 10, die derzeit ausschließlich Teil der DFN-AAI-Test Föderation sind und vorwiegend zu Testzwecken eingesetzt werden. Die Datenquellen sind per LDAP angebunden. Sofern entgeltpflichtige Nutzer (die nicht über eine Heimathochschule im Sinne des vhb-verbundes verfügen) auf durch Shibboleth 7 Weitere Infos: https://www.aai.dfn.de/dokumentation/ 8 Weitere Infos: https://www.aai.dfn.de/teilnahme/ 9 Die EntityID des SPs lautet: https://kurse.vhb.org/sp 10 Die EntityIDs der IdPs lauteten: https://idp.vhb.org/shibboleth-idp (Shib Ver. 1.3) und https://idp2.vhb.org/idp/shibboleth (Shib Ver. 2.1) 11
Technische Dokumentation geschützte Kursinhalte zugreifen wollen, werden diese Nutzer über den vhb-idp autorisiert. Im Sinne des Shibboleth-Verbundes fungieren die an das Identity Management bzw. Studierendenverzeichnis der teilnehmenden Hochschulen angeschlossenen Systeme als Identity Provider. 3.1.3. Freigaben an den Systemen Um den Datenaustausch zwischen den einzelnen Systemen zu ermöglichen, sind alle beteiligten Service Provider (vhb-kursprogramm, LMS der Anbieterhochschulen) an den Identity Providern der Heimathochschulen der Studierenden entsprechend freizugeben. Grundsätzlich ist die vhb bestrebt, die zur Datenweitergabe notwendigen Freigaben zentral über den für alle Hochschulen zuständigen bayerischen Datenschutzbeauftragten zu regeln. Neben dieser grundlegenden Freigabe sind ergänzende Regelungen an den Hochschulen vor Ort anwendbar. 3.2. Datenschemata Die für den Datenaustausch notwendigen Attributsdaten werden über zwei Attributsschemata definiert. Eingesetzt werden hier die beiden folgenden Schemata des Deutschen Forschungsnetzes, die teilweise an die Bedürfnisse im Bereich E-Learning angepasst worden sind. Schema Attribute für alle Anwendungen Attribute-V.1.0.pdf Schema Attribute für den Bereich E-Learning Hierzu stellt die vhb sowohl allen Betreibern der IdPs (zumeist lokales Rechenzentrum) und SPs (LMS an den Anbieterhochschulen) auf ihrer Webseite 11 ein ständig aktualisiertes Verzeichnis aller im Verbund aktiven Provider zur Verfügung. Gleichzeitig sind die Betreiber der Learning-Management-Systeme angehalten, die Shibboleth- EntityIDs ihrer eigenen Systeme der vhb und so dem gesamten Verbund mitzuteilen. https://www.aai.dfn.de/fileadmin/documents/attributes/200811/dfn-aai- https://www.aai.dfn.de/fileadmin/documents/attributes/200811/dfn-aai_e- Learning-Attribute_V.1.0.pdf 11 Siehe: http://www.vhb.org/aai 12
Technische Dokumentation 3.3. Ergänzung der Datenschemata Ergänzend zu den in den o. g. Datenschemata getroffenen Festlegungen schlägt die Virtuelle Hochschule Bayern bei der Verwendung einzelner Attribute die im Folgenden beschriebenen syntaktischen Anpassungen vor: Attribut Ergänzung <postaladdress> Die an der vhb gespeicherten Datensätze enthalten folgende Teildaten: Adresszusatz Straße PLZ Ort Länderkennung 12 Um die Zerlegung des Strings zu ermöglichen, wird folgende Syntax vorgeschlagen: <Adresszusatz>$<Straße>$<PLZ>SPACE<ORT>$<Land> Beispiele: c/o Fam. Wagner$Musterstr. 1$86000 Musterhausen$DE $Musterweg 35$68110 Musterstadt$AT 12 Länderkennung nach ISO-3166 Alpha-2 13
Technische Dokumentation 3.4. Datenflüsse Im Folgenden werden schematisch die Datenflüsse zwischen dem Kursbuchungs- und Nutzerverwaltungssystem der vhb, der Heimathochschule des Studierenden sowie den Learning-Management-Systemen der Anbieter auf den Servern der Trägerhochschulen aufgeführt. 3.4.1. Authentifizierung (Neuregistrierung, Rückmeldung) Die Authentifizierung der Studierenden muss im Rahmen der erstmaligen Registrierung eines neuen Nutzers sowie semesterweise bei der Rückmeldung erfolgen. Der Datenaustausch findet hierbei nur zwischen dem Kursportal der vhb (Service Provider) und dem Identity Management der Heimathochschule des Studierenden (Identity Provider) statt, nachdem dieser aus dem vhb-portal heraus die Datenanforderung ausgelöst hat. Abbildung 2: Datenfluss im Rahmen der Authentifizierung 14
Technische Dokumentation Die vhb benötigt für die vollständige Authentifizierung des Studierenden die folgenden Mindestattribute: Matrikelnummer: <schacpersonaluniquecode> 13 Zugehörigkeit an der Hochschule: <edupersonscopedaffiliation> 14 Der Studierende hat jederzeit die Möglichkeit, der Datenweitergabe zu widersprechen. In diesem Fall ist die Authentifizierung über das papiergebundene Verfahren ersatzweise möglich. 3.4.2. Registrierung neuer Studierender Im Rahmen der Registrierung neuer Nutzer übernimmt die vhb die persönlichen Daten des Studierenden direkt von der Heimathochschule des Studierenden. Entsprechend fungiert hier das Kursportal der vhb als Service Provider und das Identity Management der Hochschule als Identity Provider. Abbildung 3: Datenfluss im Verlauf der Registrierung 13 Definiert im Schema Attribute für den Bereich E-Learning 14 Definiert im Schema Attribute für alle Anwendungen 15
Technische Dokumentation Die vhb erhebt im Rahmen der Registrierung folgende Attribute: Matrikelnummer: <schacpersonaluniquecode> 13 Zugehörigkeit an der Hochschule: <edupersonscopedaffiliation> 14 Vorname: <givenname> 14 Nachname: <surname> 14 Geschlecht: <schacgender> 13 Geburtsdatum: <schacdateofbirth> 13 E-Mail: <mail> 14 Postadresse: <postaladdress> 14 Studienfach: <dfnedupersonstudybranch3> 13 Angestrebter Abschluss: <dfnedupersonfinaldegree> 13 Nach Anforderung der Daten werden dem Nutzer die für die Neuregistrierung benötigten Attribute angezeigt. Es steht dem Nutzer frei, der Weitergabe der persönlichen Daten (je nach technischer Realisierung teilweise oder ganz) zu widersprechen und diese wie bisher manuell einzutragen. 3.4.3. Login am vhb-portal Auch der Login in den persönlichen Desktop des Studierenden der vhb erfolgt in Zukunft über Shibboleth. Hierzu fragt das Portal der vhb (Service Provider) am Identity Management der Heimathochschule (Identity Provider) folgende Attribute an: Matrikelnummer: <schacpersonaluniquecode> 13 Zugehörigkeit an der Hochschule: <edupersonscopedaffiliation> 14 Studierende, die der Datennutzung temporär oder vollständig widersprechen, können sich durch Eingabe der vhb-nutzerkennung und des vhb-portalpassworts wie bisher einloggen. 3.4.4. Kursbuchung Die Kursbuchungen der Studierenden erfolgen ausschließlich direkt im persönlichen Desktop auf dem Kursportal der vhb. Diese werden direkt innerhalb der vhb gespeichert und gleichzeitig über eine proprietäre XML-Schnittstelle 15 elektronisch an das Identity Management der Heimathochschule des Nutzers übertragen. Die prototypische 15 Vgl. Dr. Ebner, Ralf / Hummel, Alexander: Ein Webservice zur Kursdatenübermittlung zwischen vhb und Hochschul-IDM Systemen, München 2011. 16
Technische Dokumentation Implementierung wurde in Form eines Perl-CGI-Skriptes vorgenommen und ist in der entsprechenden Dokumentation hinreichend erläutert. Neben der Buchung von Kursen wird auch die Abmeldung von Kursen an die Heimathochschule weitergegeben. Um mögliche Übertragungsfehler zu korrigieren, werden bei jedem Login des Studierenden in das vhb-portal alle Kursbuchungen des Studierenden an die Heimathochschule erneut übertragen und so notfalls synchronisiert. Zusätzliche Synchronisierungsläufe in definierten Zeitintervallen sind möglich. Um sicherzustellen, dass die Studierenden auch auf Onlinekurse zugreifen können, die sie im Vorsemester belegt haben, werden im Zuge der Synchronisationsläufe die Belegungsdaten des aktuellen und des Vorsemesters an das IdM des Studierenden übertragen. Folgende Daten werden übertragen: Matrikelnummer Art der Transaktion (Anmeldung Abmeldung) Kurs-ID Da der Nutzer durch die Anerkennung der Benutzungsordnung der vhb bereits der Datenübertragung zugestimmt hat und die Datenweitergabe für die Nutzung der Online- Kurse zwingend notwendig ist, wurde auf die Möglichkeit der Einschränkung der Datenweitergabe verzichtet. 3.4.5. Kurszutritt Im Falle des Kurszutritts bildet der Server des Learning-Management-Systemes (LMS) des Anbieters einen Shibboleth Service Provider. Das dort gehostete LMS (z. B. moodle, Ilias) muss über eine entsprechende Schnittstelle 16 verfügen, die das Auslesen und den Import der in der Shibboleth-Session übertragenen Attribute ermöglicht und diese weiterverarbeiten kann. 16 Weitere Infos: https://spaces.internet2.edu/display/shib2/shibenabled 17
Technische Dokumentation Abbildung 4: Datenfluss bei Kursbuchung und Kurszutritt Die Studierenden authentifizieren sich zunächst über den Identity Provider ihrer Heimathochschule. Hierbei werden der Authentifizierungssession neben den studentischen Daten auch die Kursbuchungsdaten der vhb über den Hochschul-IdP hinzugefügt. Beim Zutritt des Studierenden auf das Anbieter-LMS fragt dieser Service Provider (SP) mindestens die folgenden Attribute an: 13 Matrikelnummer: <schacpersonaluniquecode> 14 Zugehörigkeit an der Hochschule: <edupersonscopedaffiliation> 14 Berechtigung in Form der Kurs-IDs 17 : <edupersonentitlement> Die oben genannte Auflistung der benötigten Mindestattribute erhebt keinen Anspruch auf Vollständigkeit, da bestimmte Learning-Management-Systeme darüber hinaus zusätzliche Attribute zur Anlage der lokalen Benutzeraccounts benötigen. Die in Kapitel 3.2 vorgestellten Datenschemata weisen aus diesem Grund einige weitere Attribute als grundlegend für die Nutzung der AAI aus. Geplant ist, dem LMS des Kurs-Anbieters nur diejenigen Kursbuchungen mitzuteilen, die das LMS des Anbieters betreffen. Die vhb stellt dazu den IdP Betreibern eine 17 <edupersonentitlement> ist als Multivalue-Attribut realisiert und enthält eine Liste aller Kursbuchungen des Studierenden 18
Technische Dokumentation entsprechende Auflistung der verfügbaren SPs auf Anbieterseite in jeweils aktueller Form zur Verfügung. Widerspricht der Nutzer der Weitergabe dieses Mindestdatensatzes, so ist ein Zutritt in durch Shibboleth geschützte Onlinekurse der vhb nicht mehr möglich. Ergänzend hierzu können, sofern der Studierende und dessen Heimathochschule einwilligen, die folgenden Attribute übertragen werden, um eine Scheinerstellung, eine automatisierte Anpassung des LMS-Profils oder eine vereinfachte Kontaktaufnahme zu ermöglichen: Vorname: <givenname> 14 Nachname: <surname> 14 Geschlecht: <schacgender> 13 Geburtsdatum: <schacdateofbirth> 13 E-Mail: <mail> 14 Postadresse: <postaladdress> 14 Aus den übertragenen Daten generiert das Learning-Management-System im Anschluss die lokalen Benutzeraccounts, die es dem Studierenden ermöglichen, Kursfortschritte zu speichern und weitergehende Funktionen zu nutzen. Bereits bestehende vhb-kurse, die auf einer Plattform ohne Shibboleth-Unterstützung gehostet sind, lassen sich weiterhin direkt aus dem vhb-portal heraus oder durch manuelles Einloggen am LMS betreten. Eine nachträgliche Ergänzung um Shibboleth ist in den meisten Fällen problemlos möglich, jedoch in nächster Zeit nicht zwingend erforderlich. 19
Schlussbemerkung 4. Schlussbemerkung Die vhb ist bereit, alle Trägerhochschulen bei der Einrichtung des Shibboleth-Verbundes zu unterstützen. Durch die jetzt vom DFN Verein zur Verfügung gestellten Möglichkeiten des ausgelagerten IdPs sollte es auch Hochschulen ohne eigenes hochschulweites Identity Management System möglich sein, für die eigenen Studierenden einen Identity Provider zur Verfügung zu stellen. Die Einführung eines campusweiten Identity Management Systems ist für die Teilnahme am vhb-verbund in diesem Zusammenhang nicht notwendig, da für die Einrichtung des IdP Dienstes nur ein LDAP-Verzeichnis mit den notwenigen Studierendendaten zur Verfügung gestellt werden muss. Jedoch kann die Nutzung von Shibboleth im Umfeld der vhb als Einstieg für weitere Anwendungen (Bibliothek, usw.) an der eigenen Hochschule dienen. Bis zur flächendeckenden Verfügbarkeit der Identity Provider an den Heimathochschulen der vhb-nutzer werden alle bisherigen Schnittstellen weiterhin verfügbar bleiben. Zudem ist bei der Einführung darauf zu achten, dass Vorteile, die durch die Integration von Shibboleth für bestimmte Nutzer geschaffen werden, nicht durch Nachteile gegenüber anderen Nutzergruppen erkauft werden. Für zukünftige Neuerstellungen von Onlinekursen an der Virtuellen Hochschule Bayern sollte darauf geachtet werden, dass die Kurse auf einem Learning-Management-System eingerichtet werden, das kompatibel zu dem Single-Sign-On Verfahren Shibboleth ist. 20