Übersicht Single Sign-On (SSO)

Was ist Single Sign-On?

Single Sign-On (SSO) ist eine Form des Identitäts- und Access-Managements (IAM), die es den Benutzern ermöglicht, sich bei mehreren Anwendungen und Websites mit den selben Anmeldeinformationen (Benutzername und Kennwort) nur einmal anzumelden. Bei SSO stützt sich die Anwendung oder Website, auf die der Benutzer zugreifen möchte, auf eine vertrauenswürdige Drittpartei, die überprüft, ob die Benutzer die sind, für die sie sich ausgeben. Somit wird es Ihren Studierenden ermöglicht, sich mit den Intranet- oder E-Mail-Zugangsdaten Ihrer Hochschule im Career Center anzumelden. 

 

Wie funktioniert SSO?

Die Authentifizierung mit SSO beruht auf einer Vertrauensbeziehung zwischen Domains (Websites). Bei einer Anmeldung über Single-Sign-On geschieht folgendes:

  1. Sie geben den Benutzernamen/Passwort ein, den Sie für den Zugriff auf andere Bereiche Ihrer Hochschule verwenden.
  2. Die SSO-Anwendung fordert eine Authentifizierung vom Identitätsanbieter oder dem Authentifizierungssystem an, das Ihre Hochschule verwendet. Sie verifiziert Ihre Identität und benachrichtigt die SSO-Anwendung.
  3. Die SSO-Anwendung übergibt die Authentifizierungsdaten an die Website und sendet Sie an die Website zurück. Sie erhalten Zugriff auf die angeforderte Seite.

In SSO haben die Authentifizierungsüberprüfungsdaten die Form von Token.

Diese Informationen werden bereitgestellt von https://www.onelogin.com/learn/how-single-sign-on-works (04.02.2020)

 

Wie ist die Datensicherheit bei SSO gegeben?

Nach der Einrichtung einer SSO-Verbindung befinden sich die Daten der Studierenden vom Hochschulserver (IDP) nicht automatisch im Career Center. Die Studierenden müssen sich aktiv im Career Center anmelden, um JobTeaser Ihre Daten zur Verfügung zu stellen. 

Dabei werden keine Passwörter an JobTeaser übermittelt. Die Authentifizierung erfolgt über den Hochschulserver und die eigene Anmeldemaske. Von dort aus wird dem Career Center das "ok" übermittelt, dem Studierenden Zugang zu gewähren. Dabei werden die notwendigen Attribute Vorname, Nachname und E-Mail-Adresse übermittelt. 

mceclip3.png

Beispielhafte Anmeldemaske des Hochschulintranets. Nutzername und Passwort bleiben auf den Hochschulservern gespeichert und werden nicht an JobTeaser übermittelt.


Bei der Registrierung gelangen die Studierenden die Anmeldemaske des Career Centers, bei denen die drei Attribute schon vorausgefüllt sind. Sie müssen dennoch weitere Angaben machen und den Nutzungsbedingungen und Datenschutzbestimmungen von JobTeaser zustimmen. Wenn sie diesen Anmeldeschritt nicht beenden, sind sie nicht im Nutzermodul von JobTeaser gelistet. 

mceclip0.png

Vereinfachte Anmeldemaske bei einer SSO-Verbindung: Vorname, Nachname und E-Mail-Adresse sind vorausgefüllt und nicht änderbar, da automatisch übermittelt. Studiengang und Abschlussjahr werden abgefragt. Es muss den Nutzungsbedingungen, den Datenschutzbestimmungen sowie der Einverständniserklärung zum Erhalt von E-Mails zugestimmt werden. 

Bei einer Integration über eine Föderation (beispielsweise DFN) wird automatisch ein Anmeldefenster generiert, welches die zu übermittelnden Attribute anzeigt und die Nutzer explizit nach dem Einverständnis der Datenübermittlung fragt. Über diese Maske kann das Einverständnis auch zurückgezogen werden. 

mceclip2.png

Zusätzliche Maske für die Einverständniserklärung der Datenübermittlung an JobTeaser vom DFN

Bei einer eigenständigen Integration ohne Föderation kann dieses Fenster bei Bedarf von der Hochschule selbst bereitgestellt werden.

Gemäß DSGVO werden alle personenbezogenen Daten von Nutzern, die sich 24 Monate nicht im Career Center angemeldet haben, automatisch aus dem System gelöscht. 

 

Wie wird eine solche Verbindung hergestellt?

Um eine SSO-Verbindung für Ihr Career Center einzurichten, müssen wir Informationen mit Ihrer Hochschule austauschen, insbesondere mit Ihrer IT-Abteilung. Sie müssen sicherstellen, dass ein Identitätsprovider (IDP bzw. IAM) in Ihrer Hochschule existiert. Wir unterstützen drei Arten von Protokollen für die Verbindung mit IDPs. Bitte geben Sie die entsprechende Dokumentation an Ihre IT-Abteilung weiter, damit diese die Einrichtung vorbereiten kann:

Um den Austausch der notwendigen Informationen für die Einrichtung zu erleichtern und ihre Vollständigkeit zu gewährleisten, übermitteln Sie sie uns bitte über dieses Formular. Wir empfehlen, dass dieses Formular gemeinsam von Career Service Mitarbeitern und IT-Mitarbeitern ausgefüllt wird. Im ersten Teil geht es um Ansprechpartner der Hochschule bei der Integration, den Permalink (URL, welche Sie mit Ihrem JobTeaser-Ansprechpartner vereinbart haben) und die Benutzergruppe, die über die SSO-Verbindung Zugang bekommen soll. Der zweite Teil enthält technischen Fragen rund um Ihr IDP/IDM. 

mceclip1.png

Wenn Sie beim Ausfüllen des Formulars Fragen haben, kontaktieren Sie uns.

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.