Wenn Sie den TUM Login via Single-Sign-On anbinden möchten, müssen Sie sich zuerst ein paar Fragen stellen:

  • SAML oder OIDC? Unsere Systeme unterstützen zum Teil SAML / Shibboleth und/oder OAuth2 / OpenID Connect (OIDC). Beide Verfahren funktionieren zwar im Prinzip sehr ähnlich, sind technisch aber völlig verschieden implementiert. Informieren Sie sich, welche Verfahren Ihr System das Sie anbinden möchten unterstützt
  • Welche Nutzer haben Sie? Was is Ihre Zielgruppe? Richtet sich Ihr Angebot an Studierende? Mitarbeitende? Benötigen Sie gewisse Einschränkungen der Nutzergruppe?
  • Welche Daten benötigen Sie vom Nutzer beim Login-Vorgang? (Bedenken Sie dass ggf. weitere Attribute aus einem Verzeichnisdienst nachgeladen werden können)
  • Möchten Sie Ihren Dienst innerhalb der DFN Föderation / EduGAIN, also auch für Mitglieder anderer Bildungseinrichtungen anbieten? (Wenn ja, kommt nur SAML in Frage)

Anschließend kontaktieren Sie uns bitte über it-support@tum.de

Von Ihnen benötigte Informationen

Wir benötigen folgende Informationen von Ihnen, um Ihnen Zugang einrichten zu können. Wenn möglich, senden Sie diese direkt mit der Anfrage mit.

Organisatorische Angaben:

  1. Verantwortlicher des Systems (Name der verantwortlichen Einrichtung wie in TUMonline, sowie Kontaktangaben mind. eines verantwortlichen Admin der die tatsächliche Implementierung vornimmt.)
  2. Beschreibung / Zweck des Systems
  3. Angaben zur eingesetzten Software und (Auth-)Plugins. Software von der Stange? Eigenentwicklung?

Technische Angaben:

  1. Bezeichnung der Anwendung in Deutsch und Englisch (wird beim Login angezeigt)
  2. Beschreibung der Anwendung in Deutsch und Englisch, ~1-3 Sätze die erklären wofür man die Anwendung nutzt (wird beim Login angezeigt)
  3. URL der Startseite der Anwendung (de/en)
  4. URL zur Datenschutzerklärung der Anwendung (de/en)
  5. Nutzerdaten die Sie in der Anwendung zur Verarbeitung benötigen (denken Sie an die Verfahrensbeschreibung!)
  6. Nutzerdaten die Sie benötigen um die Zielgruppe / den Zugang zur Anwendung zu ermitteln aber nicht verarbeiten/speichern (z.B. "ist der Nutzer immatrikulierter Student")

Für OAuth/OIDC:

  1. URL(s) der OAuth Redirect-URIs der Anwendung

Für SAML:

  1. URL zu Ihren SAML Metadaten
  2. Kontaktdaten 1-2 Ansprechpersonen für die Einrichtung des Zugangs zur Metadatenverwaltung über die Sie die Konfiguration teilweise selbst pflegen können (Pflichtangabe: Name, E-Mail, Telefonnummer)

Sicherheitsrelevante Angaben:

  1. Bestätigung dass die Anwendung ausschließlich über https:// mit HSTS erreichbar ist
  2. Bestätigung dass die Anwendung angemessenen Schutz vor Cross-Site Request-Forgery mitbringt, insbesondere Verknüpfung und Validierung des OAuth "state" Parameters mit der Nutzer-Session. Fehlende Validierung des "state" Parameters erlaubt das Unterschieben fremder Nutzer-Sessions!
  3. Bestätigung dass die Anwendung keine Einbettung in Frames gestattet (X-Frame-Options oder Content-Security-Policy Header)

Informationen für Sie

Beachten Sie unsere Technische Daten (SSO)

Bei erfolgter Einrichtung erhalten Sie von uns für SAML:

  • Zugang zur Metadatenverwaltung um ggf. Anpassungen an den Metadaten Ihres Systems vorzunehmen

Bei erfolgter Einrichtung erhalten Sie von uns für OAuth:

  • Client-ID (identifiziert Ihre Anwendung)
  • Client-Secret (geheim zu halten! Autorisiert Ihre Zugriffe auf den OAuth Token Endpoint)
  • Scopes (OAuth Scopes die Ihre Anwendung anfordern muss, basierend auf Ihren Anforderungen an die Nutzerdaten)
  • Keine Stichwörter