Categories
Pages
-

IT Center Blog

Safety First – Secure logout with RWTH Single Sign-On

May 17th, 2021 | by
The login mask of the RWTH Single Sign-On.

Source: Own illustration

Everyone who studies or works at RWTH knows it: the RWTH Single Sign-On.

This is not a dating service, but an application with which you can log in to almost all RWTH services. What is particularly charming is that you do not have to remember an infinite number of access data, but only one user name and the corresponding password.

In addition, RWTH Single Sign-On recognizes if you are already logged in to a service, for example RWTHonline. If you then log in to RWTHmoodle, RWTH Single Sign-On waves the user through directly using the underlying “Shibboleth” application.

Cookies, Cookies, Cookies

But this is also where the potential security risk lies: Shibboleth stores encrypted application-relevant information about who the user is and what authorizations they have. This information is stored in cookies.

Anyone who has access to your web browser can use all applications protected via Shibboleth as long as the session information from Shibboleth is stored in the browser.

To make sure that nobody can access your browser unhindered with your data in the RWTH systems, the following points have to be considered:

  • When you close your browser after your work is done, delete the cookies, at least those from sso.rwth-aachen.de and idm.rwth-aachen.de.
  • Use the safe mode – also called private or incognito mode – of your browser! This will automatically delete all cookies of the session when you close the browser. It also prevents the recovery of the last session.
  • Attention: the setting “restore session” should be turned off in your browser! Otherwise, even the safe mode of your browser will not work properly.

Further Information

Further information and instructions on how to securely log out of RWTH Single Sign-On will be displayed each time you click on “Log out” in Selfservice:

The instructions for secure logout from the RWTH Single Sign-On.

Source: Own illustration

You need information about deleting cookies for your browser? No problem! Under the following links you will find the corresponding information pages of the manufacturer:

 

Responsible for the content of this article are Benjamin Beitz, Linda Jörres and Thorsten Kurth.

15 responses to “Safety First – Secure logout with RWTH Single Sign-On”

  1. Da Costa says:

    Hallo ich kann mich nicht anmelden

    • Gath, Dunja says:

      Guten Tag Da Costa,
      damit wir dir effektiv helfen können, sende doch bitte eine E-Mail mit einer genauen Fehlerbeschreibung an unseren IT-ServiceDesk .
      Die Kolleginnen und Kollegen von unserem IT-ServiceDesk werden dir gerne schnellstmöglich bei deinem Problem helfen.
      Bitte gebe uns in deiner E-Mail noch folgende Informationen:
      Auf welcher Seite genau möchtest du dich anmelden?
      Wie lautet deine Benutzerkennung? (zwei Buchstaben gefolgt von 6 Zahlen)
      Welche Fehlermeldung tritt auf? (Gerne einen Screenshot mitsenden)

      Viele Grüße,
      das IT Center Blog Team

  2. Marc says:

    Ist das jetzt ein Bug oder ein Feature?

    • Vreydal, Janin says:

      Hallo Marc,

      es ist definitiv eine Thematik, mit der die Nutzenden sensibel umgehen sollten. Daher haben wir die oben beschriebenen Empfehlungen verfasst.
      Falls du weitere Fragen hierzu hast, kannst du dich sehr gerne an das IT-ServiceDesk wenden – ob per E-Mail, Anruf oder Chat.

      Viele Grüße,
      das IT Center Blog Team

  3. Sandra Miessner says:

    Hallo zusammen!

    Ich verstehe leider nicht, was ich tun soll. Wir können gerne ab 9 Uhr 30 einmal telefonieren. Vielleicht können sie mir behilflich sein.

    • Kaminski, Nicole Terese says:

      Hallo Sandra,
      vielen Dank für deine Nachfrage.

      An dieser Stelle musst du nicht aktiv werden. Es ist lediglich ein Sicherheitshinweis, wie man sich sicher aus dem RWTH Single Sign-On abemeldet, um vor unbefugten Zugriff geschützt zu sein.
      Falls du weitere Fragen hierzu hast, kannst du dich sehr gerne an das IT-ServiceDesk wenden – ob per E-Mail, Anruf oder Chat.

      Viele Grüße,
      das IT Center Blog Team

  4. Thorsten says:

    Logout in einem Single Sign On Umfeld (SSO) ist nicht so trivial zu implementieren. Wenn ein Service einen Logout Button anbietet (mittlerweile technisch möglich, aber von nur wenigen Services implementiert), muss eine gesicherte Kommunikation zwischen dem IdentityProvider (der Hochschule) und dem Service stattfinden, dass diese eine Session beendet ist und bei erneutem Aufruf des Services eine Reauthentifizierung erforderlich ist.
    Ein Logout-Button, der ALLE Sessions in einer SSO Umgebung beendet, kann interessante Seiteneffekte haben. Z. B. hat man vergessen, dass man in einem anderen Service, der auch über SSO authentifiziert, noch nicht gespeicherte Daten hat…

    Dieser Artikel diskutiert das Problem recht anschaulich:
    https://www.oit.uci.edu/idm/shibboleth/slo/

    • Kaminski, Nicole Terese says:

      Hallo Thorsten,

      super, vielen Dank für diese ausführliche Erklärung 🙂

      Viele Grüße,
      das IT Center Blog Team

    • Maik G. says:

      Guten Tag,

      also, wie der Artikel schon beschreibt: Nicht alle SSOs können SLO, aber offenbar ist SLO eine wichtige Anforderung. Sonst gäbe es ja keine Rundmail an zehntausende Leute wie man sich korrekt ausloggt.

      Und der Artikel – der auch nicht allgemein SSO beschreibt, sondern eben nur Shibboleth – sagt ja eben durchaus das ein sicherer Logout beim schließen vom Browser möglich ist, wenn der Service Provider das einbaut. Die Service Provider beim RWTH Login sind ja nun nicht irgendwelche ungekannten Dritten, also das ist durchaus eine Anforderung die man stellen kann.

      Mir ist schon klar das ihr in eurem Umfeld mit Einschränkungen arbeitet, aber von Leuten zu fordern mal eben alle Sessioncookies zu löschen wird die meisten Leute überfordern. Auch wird nicht zwischen z.B. eigenen Systemen unterschieden und öffentlichen – in der Bibliothek etwa. Das Leute durch das Löschen der Cookies dann eben all ihre Logins und viele Konfigurationen löschen – etwa DSGVO-Consents für hunderte Seiten – solltet ihr wenigstens erwähnen finde ich.

      Viele Grüße

      Maik

      • Vreydal, Janin says:

        Hallo Maik,

        vielen Dank für deinen Kommentar.
        Du hast recht, sicheres Ausloggen ist eine wichtige Anforderung. Besonders, wenn die Anmeldung auf einem öffentlich zugänglichen Rechner erfolgt. Bei deinem Rechner zu Hause oder im Büro, den du zuverlässig sperren kannst, ist das Risiko deutlich geringer.
        Da uns das Thema Sicherheit sehr am Herzen liegt, haben wir diese Empfehlungen zusammengefasst. Von den Nutzenden wird nicht verlangt, immer alle Cookies zu löschen, sondern jene Cookies, bei denen ein potenzielles Sicherheitsrisiko vorliegt (sso.rwth-aachen.de und idm.rwth-aachen.de). Jeder Nutzende sollte sich verantwortungsbewusst mit dem Thema Cookies auseinandersetzen.
        An der Abmeldung durch das Schließen des Browsers arbeiten die unterschiedlichen Service-Provider bereits. Wir empfehlen den Nutzenden bis dahin die oben genannten Punkte zu beachten.

        Viele Grüße,
        das IT Center Blog Team

  5. Maik G. says:

    Hat das RWTH SSO keinen Logout-Button?

    • Kaminski, Nicole Terese says:

      Hallo Maik,

      vielen Dank für deine Frage – unser Kollege Thorsten hat dir hierzu eine ausführliche Erklärung als Antwort geschrieben.
      Sollte noch was unklar sein, melde dich gerne wieder.

      Viele Grüße,
      das IT Center Blog Team