Kategorien
Seiten
-

IT Center Blog

Safety First – Sicheres Abmelden mit dem RWTH Single Sign-On

17. Mai 2021 | von
Die Anmeldemaske des RWTH Single Sign-On

Quelle: Eigene Darstellung

Jeder, der an der RWTH studiert oder arbeitet, kennt ihn: den RWTH Single Sign-On.

Dabei handelt es sich nicht etwa um ein Partnervermittlungsverfahren, sondern um eine Anwendung mit der man sich bei fast allen Services der RWTH einloggen kann.

Besonders charmant ist, dass man sich nicht unendlich viele Zugangsdaten merken muss, sondern nur einen Benutzernamen und das dazugehörig Passwort.

Zudem erkennt der RWTH Single Sign-On, wenn man bereits in einem Service, beispielsweise schon in RWTHonline, eingeloggt ist. Wenn man sich dann in RWTHmoodle einloggt, winkt der RWTH Single Sign-On durch die dahinterliegende Anwendung „Shibboleth“ den Nutzenden direkt durch.

Cookies, Cookies, Cookies

Aber hier liegt auch das potenzielle Sicherheitsrisiko: Shibboleth speichert verschlüsselt anwendungsrelevante Informationen darüber, wer der Nutzer ist und welche Berechtigungen dieser besitzt. Diese Informationen werden in Cookies hinterlegt.

Jeder, der Zugriff auf euren Webbrowser hat, kann alle über Shibboleth geschützten Anwendungen nutzen, solange die Session-Informationen von Shibboleth im Browser gespeichert sind.

Damit sich niemand ungehindert in eurem Browser mit euren Daten in der RWTH-Systemen herumtreiben kann, sind folgende Punkte zu beachten:

  • Wenn ihr den Browser nach getaner Arbeit schließt, löscht vorher noch die Cookies, mindestens jene von sso.rwth-aachen.de und idm.rwth-aachen.de.
  • Verwendet den abgesicherten Modus – auch privater oder Inkognito-Modus genannt­ ­­– eures Browsers! Dadurch werden beim Schließen des Browsers automatisch alle Cookies der Session gelöscht. Auch die Wiederherstellung der letzten Session wird dadurch verhindert.
  • Achtung: die Einstellung „Sitzung wiederherstellen“ sollte in eurem Browser ausgestellt sein! Ansonsten greift auch der abgesicherte Modus eures Browsers nicht richtig.

Weitere Informationen

Weitere Informationen und Hinweise zum sicheren Abmelden vom RWTH Single Sign-On werden euch jedes Mal anzeigt, wenn ihr im Selfservice auf „Abmelden“ klickt:

Die Hinweise zum sicheren Ausloggen aus dem RWTH Single Sign-On.

Quelle: Eigene Darstellung

Ihr benötigt Informationen zum Löschen von Cookies für euren Browser? Kein Problem! Unter den folgenden Links findet Ihr die entsprechenden Hinweisseiten des Herstellers:

Google Chrome

Mozilla Firefox

Microsoft Edge

 

Verantwortlich für die Inhalte dieses Beitrags sind Benjamin Beitz, Linda Jörres und Thorsten Kurth.

15 Antworten zu “Safety First – Sicheres Abmelden mit dem RWTH Single Sign-On”

  1. Da Costa sagt:

    Hallo ich kann mich nicht anmelden

    • Gath, Dunja sagt:

      Guten Tag Da Costa,
      damit wir dir effektiv helfen können, sende doch bitte eine E-Mail mit einer genauen Fehlerbeschreibung an unseren IT-ServiceDesk .
      Die Kolleginnen und Kollegen von unserem IT-ServiceDesk werden dir gerne schnellstmöglich bei deinem Problem helfen.
      Bitte gebe uns in deiner E-Mail noch folgende Informationen:
      Auf welcher Seite genau möchtest du dich anmelden?
      Wie lautet deine Benutzerkennung? (zwei Buchstaben gefolgt von 6 Zahlen)
      Welche Fehlermeldung tritt auf? (Gerne einen Screenshot mitsenden)

      Viele Grüße,
      das IT Center Blog Team

  2. Marc sagt:

    Ist das jetzt ein Bug oder ein Feature?

    • Vreydal, Janin sagt:

      Hallo Marc,

      es ist definitiv eine Thematik, mit der die Nutzenden sensibel umgehen sollten. Daher haben wir die oben beschriebenen Empfehlungen verfasst.
      Falls du weitere Fragen hierzu hast, kannst du dich sehr gerne an das IT-ServiceDesk wenden – ob per E-Mail, Anruf oder Chat.

      Viele Grüße,
      das IT Center Blog Team

  3. Sandra Miessner sagt:

    Hallo zusammen!

    Ich verstehe leider nicht, was ich tun soll. Wir können gerne ab 9 Uhr 30 einmal telefonieren. Vielleicht können sie mir behilflich sein.

    • Kaminski, Nicole Terese sagt:

      Hallo Sandra,
      vielen Dank für deine Nachfrage.

      An dieser Stelle musst du nicht aktiv werden. Es ist lediglich ein Sicherheitshinweis, wie man sich sicher aus dem RWTH Single Sign-On abemeldet, um vor unbefugten Zugriff geschützt zu sein.
      Falls du weitere Fragen hierzu hast, kannst du dich sehr gerne an das IT-ServiceDesk wenden – ob per E-Mail, Anruf oder Chat.

      Viele Grüße,
      das IT Center Blog Team

  4. Thorsten sagt:

    Logout in einem Single Sign On Umfeld (SSO) ist nicht so trivial zu implementieren. Wenn ein Service einen Logout Button anbietet (mittlerweile technisch möglich, aber von nur wenigen Services implementiert), muss eine gesicherte Kommunikation zwischen dem IdentityProvider (der Hochschule) und dem Service stattfinden, dass diese eine Session beendet ist und bei erneutem Aufruf des Services eine Reauthentifizierung erforderlich ist.
    Ein Logout-Button, der ALLE Sessions in einer SSO Umgebung beendet, kann interessante Seiteneffekte haben. Z. B. hat man vergessen, dass man in einem anderen Service, der auch über SSO authentifiziert, noch nicht gespeicherte Daten hat…

    Dieser Artikel diskutiert das Problem recht anschaulich:
    https://www.oit.uci.edu/idm/shibboleth/slo/

    • Kaminski, Nicole Terese sagt:

      Hallo Thorsten,

      super, vielen Dank für diese ausführliche Erklärung 🙂

      Viele Grüße,
      das IT Center Blog Team

    • Maik G. sagt:

      Guten Tag,

      also, wie der Artikel schon beschreibt: Nicht alle SSOs können SLO, aber offenbar ist SLO eine wichtige Anforderung. Sonst gäbe es ja keine Rundmail an zehntausende Leute wie man sich korrekt ausloggt.

      Und der Artikel – der auch nicht allgemein SSO beschreibt, sondern eben nur Shibboleth – sagt ja eben durchaus das ein sicherer Logout beim schließen vom Browser möglich ist, wenn der Service Provider das einbaut. Die Service Provider beim RWTH Login sind ja nun nicht irgendwelche ungekannten Dritten, also das ist durchaus eine Anforderung die man stellen kann.

      Mir ist schon klar das ihr in eurem Umfeld mit Einschränkungen arbeitet, aber von Leuten zu fordern mal eben alle Sessioncookies zu löschen wird die meisten Leute überfordern. Auch wird nicht zwischen z.B. eigenen Systemen unterschieden und öffentlichen – in der Bibliothek etwa. Das Leute durch das Löschen der Cookies dann eben all ihre Logins und viele Konfigurationen löschen – etwa DSGVO-Consents für hunderte Seiten – solltet ihr wenigstens erwähnen finde ich.

      Viele Grüße

      Maik

      • Vreydal, Janin sagt:

        Hallo Maik,

        vielen Dank für deinen Kommentar.
        Du hast recht, sicheres Ausloggen ist eine wichtige Anforderung. Besonders, wenn die Anmeldung auf einem öffentlich zugänglichen Rechner erfolgt. Bei deinem Rechner zu Hause oder im Büro, den du zuverlässig sperren kannst, ist das Risiko deutlich geringer.
        Da uns das Thema Sicherheit sehr am Herzen liegt, haben wir diese Empfehlungen zusammengefasst. Von den Nutzenden wird nicht verlangt, immer alle Cookies zu löschen, sondern jene Cookies, bei denen ein potenzielles Sicherheitsrisiko vorliegt (sso.rwth-aachen.de und idm.rwth-aachen.de). Jeder Nutzende sollte sich verantwortungsbewusst mit dem Thema Cookies auseinandersetzen.
        An der Abmeldung durch das Schließen des Browsers arbeiten die unterschiedlichen Service-Provider bereits. Wir empfehlen den Nutzenden bis dahin die oben genannten Punkte zu beachten.

        Viele Grüße,
        das IT Center Blog Team

  5. Maik G. sagt:

    Hat das RWTH SSO keinen Logout-Button?

    • Kaminski, Nicole Terese sagt:

      Hallo Maik,

      vielen Dank für deine Frage – unser Kollege Thorsten hat dir hierzu eine ausführliche Erklärung als Antwort geschrieben.
      Sollte noch was unklar sein, melde dich gerne wieder.

      Viele Grüße,
      das IT Center Blog Team