Kategorien
Seiten
-

IT Center

Jetzt noch mehr Services mit Shibboleth

14. September 2020 | von

Ihr habt keine Lust, euch bei jedem webbasierten Service neu einzuloggen? Kein Problem. Dafür gibt es RWTH Single Sign-On. Dieser Dienst basiert auf Shibboleth – einem Verfahren zur verteilten Authentifizierung und Autorisierung für Webanwendungen. Hierdurch ist es möglich, mit einer einzigen Anmeldung verschiedene Anwendungen zu nutzen – sowohl innerhalb der eigenen Universität als auch an anderen Hochschulen und Einrichtungen, die dem selben Verbund (zum Beispiel DFN-AAI) angehören.

Mann auf Wartebank mit Laptop auf dem Schoß.

1000-mal geklickt, 1000-mal Login benötigt? Nicht mit dem RWTH Single Sign-On. (Quelle: unsplash.de)

Sehr viele Inhalte innerhalb der RWTH Aachen werden über das Internet, beziehungsweise über Web-Anwendungen, bereitgestellt. Dabei ist der Inhalt meist dynamisch und nur für definierte Benutzergruppen gedacht – seien es Foren für bestimmte Studiengänge, Online-Publikationen oder Dokumentationssysteme.

Für die Zugriffskontrolle ist es also notwendig, eine Authentifizierung und Autorisierung der Nutzenden sicherzustellen. Dies übernimmt der Authentifizierungsdienst RWTH Single Sign-On, den das Identity Management (IdM) des IT Centers bereits seit 2005 für die RWTH betreibt und der sich immer noch wachsender Beliebtheit erfreut.

Seit 2005 ist viel passiert, stetig wurde Shibboleth aktualisiert, die Infrastruktur ausgebaut. Eine der aktuellen Herausforderungen an die Zukunftsfähigkeit von RWTH Single Sign-On kommt nicht aus den Anforderungen an den Service an sich, sondern betrifft das gesamte Internet.

Der Großteil des Datenverkehrs im Internet läuft über das Internet Protocol in der Version 4 (kurz: IPv4). Dabei haben die IP-Adressen eine Länge von 32 Bit. Daher können maximal 4,3 Milliarden Adressen weltweit gebildet werden – die meisten werden eindeutig zugeordnet. Leider bringt dies mit sich, dass es eine theoretische Höchstzahl von Geräten gibt, die man über eindeutige Adressen per IPv4 erreichen kann. Aktuell ist der weltweite

IPv4-Adressraum voll belegt – Netzbetreiber können davon keine neuen Teilstücke mehr erhalten. Sie mussten mit den vorhandenen Adressen auskommen.

Nach einer langen Entwicklungsphase wurde die sechste Version des Internet Protocol veröffentlich: IPv6 ist der langersehnte Nachfolger von IPv4 und seit Juli 2017 zum offiziellen Protokollstandard für das Internet erhoben worden. Langfristig soll er seinen Vorgänger im öffentlichen Netz ablösen. Im Gegensatz zu IPv4 sind bei IPv6 die Adressen nun 128 Bits lang. Damit wurde der theoretische Adressraum von 4,3 Milliarden auf nun circa 340 Sextillionen (2128) unterschiedliche IP-Adressen erweitert – eine Zahl mit 37 Nullen.

Während IPv4 und IPv6 dieselbe Funktion als Vermittlungsschicht erfüllen, sind sie nicht direkt interoperabel: sollen zwei Geräte direkt miteinander kommunizieren, so kann das nur dann funktionieren, wenn es eine gemeinsame Protokollversion gibt. Daher ist es wichtig auch das Herzstück unserer Authentifizierung IPv6 fähig zu machen.

Um auch in Zukunft die volle Konnektivität im Betrieb gewährleisten zu können, wird unser Shibboleth-basierter RWTH Single Sign-On Service daher ab Oktober 2020 im Dualstack-Betrieb laufen. Eine komplette Umstellung von IPv4 auf IPv6 ist in den nächsten zehn Jahren sehr unwahrscheinlich. Daher wird das System der RWTH künftig sowohl IPv4 als auch IPv6 Services provisionieren können. Auf diese Weise ist sichergestellt, dass wir auch in Zukunft kompatibel für jedwede Services bleiben – sowohl im IPv4- als auch im IPv6-Adressbereich.

Verantwortlich für diesen Beitrag sind Linda Jörres und Tanja Wittpoth-Richter.

2 Antworten zu “Jetzt noch mehr Services mit Shibboleth”

  1. Thorsten sagt:

    Es gibt doch bestimmt einen anvisierten Umstellungstermin für den dual stack Betrieb, oder? 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *