Die hier aufgerufene Seite ist der Identity Provider (IdP) des DIfE. Der IdP dient zur Authentifizierung und Autorisierung der Nutzer (Mitarbeiter des DIfE) gegenüber Anbietern, sogenannten Service Providern (SPs), im Rahmen der DFN-AAI.
Die Authentifizierungs- und Autorisierungs-Infrastruktur DFN-AAI (Verein zur Förderung eines Deutschen Forschungsnetzes e. V - Authentication and Authorization Infrastructure) wird vom DFN verwaltet. Der DFN schafft das notwendige Vertrauensverhältnis sowie einen organisatorischen und technischen Rahmen für den Austausch von Benutzerinformationen zwischen Einrichtungen und Anbietern in der DFN-AAI. Das DIfE pflegt eine langjährige Partnerschaft mit dem DFN-Verein. Realisiert wird die DFN-AAI mit der Software Shibboleth. Die DFN-AAI bietet die Möglichkeit, sich für elektronische Dienste als Mitarbeiter des DIfE zu authentifizieren, ohne einen gesonderten Zugang beantragen zu müssen. Darunter fallen Web-Dienste wie z.B. Online-Recherchen von Verlagen.
Shibboleth unterstützt Anwender und Dienstleister in Bezug auf Datensparsamkeit, Datenvermeidung und Identitätsmanagement. Passwörter gelangen nicht mehr zu den Service Providern. Die gesamte Kommunikation erfolgt dabei ausschließlich verschlüsselt. Für die Verschlüsselung werden Zertifikate der DFN-PKI eingesetzt. Die Überprüfung Ihres DIfE-Logins und Passwortes erfolgt immer am Identity Provider des DIfE. Gegenüber vielen Service Providern genügt eine anonyme Identifikation mittels einer sogenannten Unique Id (eindeutiger, anonymer bzw. pseudonymer Username).
Beispiele für Attribute die generiert (vom DIfE Idp) und übertragen (an den jeweiligen SP) werden (können):
Eine Liste von Service Providern und welche Attribute verlangt werden, finden sie hier
Die einem Service Provider (SP) zu übermittelnden Daten (Attribute) werden dem Nutzer nach der erfolgreichen Authentifizierung gegenüber des DIfE am Identity Provider zunächst angezeigt. Zur endgültigen Autorisierung gegenüber dem Service Provider muss der Nutzer der Übermittlung der Daten, so erforderlich, explizit zustimmen. Das bedeutet: Es findet immer zunächst nur die Anzeige der zu übermittelnden Attribute (Daten) statt (Button: Login). Die Einwilligung des Nutzers zur Datenübermittlung an den Service Provider erfolgt dann erst im zweiten Schritt mit der Bestätigung (Button: Bestätigen bzw. Confirm) durch den Nutzer. Das DIfE trägt dafür Sorge, dass nur Attribute herausgegeben werden können, die für die Erbringung des Dienstes des Serviceproviders erforderlich sind. Die Menge der erforderlichen Attribute ist abhängig vom Service Provider. Haben Sie der Übermittlung personenbeziehbarer Daten an den Serviceprovider zugestimmt und wollen Sie dies widerrufen, so wenden Sie sich bitte direkt an den entsprechenden Serviceprovider. Das DIfE hat keine Kenntnis davon, an wen im Einzelfall personenbeziehbare Daten mit Ihrer Zustimmung übermittelt wurden. Sollten Sie bezgl. des Widerrufes beim SP Probleme haben, können Sie sich auch an die IT des DIfE wenden.
Datenschutz beim Shibboleth-SSO Verfahren
ZuständigkeitDas Shibboleth-Single-Sign-On am DIfE wird von der IT betrieben.
Grundsätzliche Vorgänge beim Shibboleth-SSOBeim Shibboleth-Single-Sign-On Verfahren geschehen bei einer Nutzeranmeldung bei einem Anbieter (Service-Provider, geschütze Anwendung) in der Regel drei Dinge:
Zu 1., Authentifizierung
Durch Eingabe von Nutzername und Passwort (Ihre DIfE Login Daten) beim Shibboleth-Identity-Provider (IdP) wird festgestellt, ob es sich bei dem Nutzer um den handelt, der er vorgibt zu sein. Der geschützten Anwendung (dem Service-Provider, Anbieter) wird dabei nur mitgeteilt, dass sich ein Nutzer erfolgreich authentifiziert hat: "Ja, der Nutzer ist beim DIfE bekannt und er ist der, der er vorgibt zu sein". Dabei wird nicht zurückgeliefert, wer der Nutzer tatsächlich ist. Er bleibt gegenüber dem Anbieter anonym.
Zu 2., Browser-Token
Der Webbrowser des Nutzers erhält ein Token, so dass sich der Nutzer bei einem Zugriff auf eine weitere geschützte Anwendung nicht nochmals beim IdP authentifizieren muss. Dies ist das Single-Sign-On-Feature von Shibboleth. Das Token ist für eine bestimmte Zeitspanne gültig. Die Gültigkeit endet jedoch spätestens dann, wenn der Browser (die Session) geschlossen wird.
Zu 3., Authorisierung durch Attributsabfragen
Nach erfolgter Authentifizierung eines Nutzers kann eine geschützte Anwendung (ein Service-Provider, Anbieter) beim IdP weiter Attribute des Nutzers abfragen. Aus den Werten dieser zurückgegebenen Attribute kann ein Anbieter dann ableiten, was der Nutzer bei diesem Anbieter darf (Authorisierung). Die Identität des Nutzers bleibt dem Anbieter dabei weiterhin unbekannt.
Logging von Benutzerdaten (Datenspeicherung der Loghistory)Aus Sicherheitsgründen und zu Monitoringzwecken werden bei Ihrem Login und Logout Personenbezogene Daten (Vorname, Nachname, Client-IP-Adresse) für 7 Tage vom DIfE abgespeichert.
Verantwortlich für die Webseite/den Identity Provider:
Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke (DIfE) Arthur-Scheunert-Allee 114-116 14558 Nuthetal/Deutschland E-Mail: presse@dife.de
Datenschutzbeauftragte des DIfE:
Florian Melzer Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke (DIfE) Arthur-Scheunert-Allee 114-116 14558 Nuthetal/Deutschland E-Mail: datenschutz@dife.deDie für das DIfE zuständige Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Dagmar Hartge Stahnsdorfer Damm 77 14532 Kleinmachnow Telefon: 033203/356-0 E-Mail: Poststelle@LDA.Brandenburg.de
Betroffenenrechte: