Was bedeutet Single Sign-on
Single Sign-on (SSO) via TUM Login ermöglicht die Anmeldung zu Webanwendungen der TUM, externen diensten und Angeboten anderer Universitäten innerhalb des Deutschen Forschungnetzes (DFN) mit den zentralen Login-Daten der TUM.
Häufig genutzte Dienste, die SSO als Login verwenden, sind z.B. Moodle, die Alumni Community, StudiSoft, Zoom oder unser Ticket-System OTRS.
Der Vorteil von SSO ist dabei, dass der Login selbst über einen zentralen Server der TUM, den so genannten TUM Identity Provider, läuft. Ihre TUM Zugangsdaten werden dabei nur an den Identity Provider übermittelt, nicht aber an den eigentlichen Dienst (wie Moodle), den Sie damit nutzen möchten. Somit ist die Vertraulichkeit Ihrer Zugangsdaten gewährleistet - insbesondere dann wenn Sie Dienste benutzen, die von externen Betreibern angeboten werden.
SSO übermittelt beim Login ggf. weitere Nutzerdaten an den Dienst, den Sie benutzen möchten. Welche Daten dies sind, ist vom Dienst abhängig. Manche Dienste können absolut anonym genutzt werden und erhalten von Shibboleth lediglich eine Bestätigung übermittelt, dass der Login erfolgreich war. Andere Dienste benötigen persönliche Daten wie Ihre E-Mail Adresse, die dann zusätzlich übertragen werden.
Welche Daten an den Dienst übermittelt werden, können Sie beim Login jederzeit anzeigen lassen. Setzen Sie dazu den Haken "zu übertragende Daten anzeigen" beim Login (s. Screenshot unten).
Der TUM-Login unterstützt dabei die Verfahren SAML / Shibboleth als auch OAuth2 / OpenID Connect (OIDC).
Vorteile des Single Sign-on
Für den Nutzer
Die Nutzer melden sich bei SSO - unabhängig vom eigentlich verwendeten Dienst - immer auf der selben Website an. Es ist für den Nutzer also einfach zu erkennen, dass es sich um einen Dienst handelt der mit TUM Accounts genutzt werden kann. Der Nutzer kann dem Login vertrauen und z.B. die Zugangsdaten für den Login in einem Passwortmanager hinterlegen, sodass der Login komfortabel erfolgen kann.
Einmal eingeloggt, kann der Nutzer während seiner Sitzung zwischen weiteren SSO Diensten wechseln, ohne sich erneut einloggen zu müssen.
Für den Systembetreiber
Der Systembetreiber muss sich nicht um die eigentliche Authentifizierung am System kümmern und muss insbesondere keine Zugangsdaten / Passwörter der Nutzer speichern oder verarbeiten. Dies reduziert den Support-Aufwand (Zugangsdaten vergessen) und wirkt sich positiv auf die Datenschutz und IT-Sicherheits Risikobewertung des Systems aus. Auch muss keine eigene Benutzerverwaltung und (weniger) Berechtigungsprüfung erfolgen.
Für die IT-Sicherheit
Zentrale Single Sign-on Dienste erhöhen die IT-Sicherheit enorm. Durch die Reduktion des Logins auf wenige zentrale Systeme wir die Angriffsfläche z.B. für Brute-Force oder XSS Angriffe deutlich reduziert.
Dadurch dass die Login-Seite dem Nutzer (und seinem Passwortmanager) bekannt ist, wird die Gefahr von Phishing enorm reduziert. Bei dezentralen Logins ist es für den Nutzer oft ein großes Problem zu entscheiden, ob er die TUM Zugangsdaten auf der Website eingeben darf oder nicht.
Sicherheitsvorgaben wie Passwortrichtlinien, Content-Security-Polcy, MFA etc. können an einer Stelle implementiert werden und greifen direkt für viele Dienste ohne jeweils einzeln ausgerollt werden zu müssen.
Bei einem Sicherheitsvorfall / Kompromittierung eines angeschlossenen Dienstes besteht keine Gefahr für die Zugangsdaten der Nutzer, da das System diese nicht selbst verarbeitet.
Die eingesetzten Verfahren (SAML/OIDC) sind anerkannter Standard und sehr sicher.
Single Sign-on für Ihre Webanwendung
Der Single Sign-on und damit die Nutzung der zentralen TUM-Kennung (oder auch DFN weit), steht Betreibern von Webanwendungen in und außerhalb der TUM zur Verfügung. SAML2 / Shibboleth oder OAuth2 / OpenID Connect (OIDC) sind die bevorzugten Authentifizierungsmethoden, wenn Sie Ihre Webanwendung mit einem TUM-Login ausstatten möchten. Wie kann ich einen Shibboleth-Zugang beantragen?
Überblick
Inhalte
Apps
Aufgabenbericht