Integrierter Shibboleth Identity Provider auf Basis verteilter Identitätsdaten

Typischerweise erlauben Shibboleth-basierte Authentifikationsund Autorisationsinfrastrukturen (AAI), wie die DFN-AAI, nur einen Identity Provider (IdP) für eine teilnehmende Organisation, um den Wartungsaufwand seitens des AAI-Betreibers möglichst gering zu halten. Ferner wahrt dies die Benutzerfreundlichkeit, da so das IdP-Verzeichnis minimal ausfällt, aus dem Nutzer vor der Authentifikation die passende Organisation auswählen müssen. Allerdings liegen in großen Einrichtungen Identitätsdaten häufig in verteilten Datenquellen vor und sind nicht über eine zentralisierte Schnittstelle verfügbar. Die Shibboleth IdP-Implementierung ist jedoch in der Anbindung verteilter Datenquellen limitiert. In dieser Arbeit werden mögliche Konzepte zur Integration eines IdP in eine Organisation mit verteilten Identitätsdaten vorgestellt und bewertet. Dabei werden für die Authentifikation bestehende Ansätze untersucht. Bislang nicht erfüllten Anforderungen konnte durch zwei Entwicklungen, einem Shibboleth Login Handler und einem JaaS Dispatcher Module, nachgekommen werden. Darüber hinaus wird gezeigt, wie sich die Shibboleth-Attributlieferung in ein bestehendes Identitätsmanagementsystem integrieren lässt. Die Umsetzbarkeit der vorgestellten Integrationslösungen wird abschließend am Beispiel des Karlsruher Instituts für Technologie verdeutlicht.