Wer sich mit Benutzeranmeldung und Single Sign-On beschäftigt, landet irgendwann bei Shibboleth SSO. Klingt komplex, ist es teilweise auch. Aber vor allem ist es ein System, das klare Vorteile bringt – wenn man es richtig einsetzt.
Was ist Shibboleth überhaupt?
Shibboleth ist ein offenes Authentifizierungssystem, das Single Sign-On (SSO) ermöglicht. Besonders im Hochschulumfeld ist es seit Jahren weit verbreitet, findet aber auch zunehmend in Unternehmen und Organisationen Anwendung, die zentrale Nutzerverwaltung und Identitätsweitergabe brauchen.
Im Kern basiert Shibboleth auf dem SAML-Protokoll (Security Assertion Markup Language). Es sorgt dafür, dass sich Nutzer bei einem zentralen Dienst anmelden – und anschließend Zugriff auf mehrere Anwendungen erhalten, ohne sich jedes Mal neu einloggen zu müssen.
Die zwei Hauptkomponenten: IdP und SP
Identity Provider (IdP)
Der Identity Provider ist der zentrale Authentifizierungsdienst. Hier melden sich die Nutzer an. Der IdP prüft, ob die Zugangsdaten korrekt sind – und gibt bei Erfolg eine sogenannte „Assertion“ weiter: Eine digital signierte Bestätigung, dass die Person echt ist.
Dabei kann der IdP auch zusätzliche Informationen mitliefern, sogenannte Attribute – z. B. Name, E-Mail-Adresse oder Rolle im Unternehmen. Der Nutzer selbst merkt davon im Idealfall nichts: Er meldet sich einmal an und ist dann „drin“.
Service Provider (SP)
Der Service Provider ist die Anwendung, die den Zugang kontrollieren will, also z. B. ein Intranet, ein Wiki oder ein Ticketsystem. Der SP selbst speichert keine Passwörter. Stattdessen fragt er beim IdP nach: „Kennst du diesen Nutzer?“ Wenn die Antwort ja lautet, lässt er den Zugriff zu je nach Berechtigung.
Wichtig zu wissen: Die Anwendung muss nicht zwingend in den Shibboleth SP integriert sein.
Der SP sitzt als Vermittler davor, etwa als Apache-Modul und regelt die Authentifizierung gegenüber dem Identity Provider (IdP).
Die eigentliche Anwendung kann auf demselben Server laufen, muss aber nicht. Entscheidend ist, dass sie Zugriff auf die vom SP gelieferten Informationen hat.
Diese Daten z. B. Benutzername, Rolle oder E-Mail, werden nach erfolgreicher Anmeldung als HTTP-Header oder Umgebungsvariablen bereitgestellt. Die Anwendung kann dann basierend auf diesen Attributen entscheiden, was erlaubt ist und was nicht.
Ein SP kann auch mehrere IdPs akzeptieren. So lassen sich z. B. Mitarbeitende verschiedener Standorte oder Partnerorganisationen gemeinsam verwalten ohne dass überall eigene Benutzerkonten nötig sind.
Typische Anwendungsszenarien
Shibboleth SSO ist besonders dort sinnvoll, wo viele Dienste mit einer zentralen Benutzerverwaltung verbunden werden sollen:
- Hochschulen mit Moodle, Nextcloud, E-Mail-Diensten etc.
- Föderationen zwischen Organisationen (z. B. DFN-AAI)
- Unternehmen, die verschiedene Tools (z. B. Mattermost, GitLab, ownCloud) anbinden wollen, ohne eine manuelle Nutzerpflege
Gerade wenn Datenschutz, Sicherheit und zentrale Kontrolle wichtig sind, ist Shibboleth eine ernstzunehmende Option insbesondere, weil es selbst gehostet werden kann und nicht auf externe Cloudanbieter angewiesen ist.
Was man realistisch erwarten sollte
Die Integration von Shibboleth ist kein „Plug-and-Play“. Gerade beim ersten Setup ist technisches Know-how gefragt insbesondere bei der Konfiguration des IdP und der SP-Metadaten.
Auch das Attributmapping kann schnell unübersichtlich werden, wenn verschiedene Systeme miteinander sprechen sollen.
Aber:
Hat man das Grundgerüst einmal sauber aufgesetzt, funktioniert es zuverlässig und bietet ein sehr hohes Maß an Kontrolle und Skalierbarkeit. Vor allem für sensible oder interne Anwendungen ist das ein echter Vorteil.
Fazit
Shibboleth ist nicht für jeden Anwendungsfall die richtige Wahl, aber in der richtigen Umgebung ist es ein starkes Werkzeug für zentrale Identitätsverwaltung und SSO. Wer nicht auf Dritte angewiesen sein will und Datenschutz ernst nimmt, sollte sich die Kombination aus IdP und SP näher anschauen.
Mit etwas Erfahrung oder dem richtigen Partner an der Seite lässt sich ein flexibles, sicheres und zukunftsfähiges System aufbauen das sich auch langfristig bewährt.
