Single Sign-on (SSO)

Anmeldung
Abmeldung
Service-Provider außerhalb des ZID

Aus Sicherheitsgründen (z. B. wegen Phishing) baut der Zentrale Informatikdienst für die zentralen webbasierten Systeme die Verwendung von Single Sign-on (ein Mal anmelden und in jedem verbundenen System identifiziert sein) bzw. Single Sign-in (für jedes System auf derselben - bekannten - Seite anmelden) laufend aus, die User sollten ihr Kennwort nur mehr an einer einzigen Stelle eingeben und sehr aufmerksam reagieren, wenn sie auf anderen Seiten zur Eingabe des Kennworts aufgefordert werden.
Obwohl uns auch die Risiken bewusst sind – so gibt es z. B. keine einheitliche Lösung für ein „Single Log-out“ und die einzelnen Systeme können unterschiedlich lange gültige Sessions haben (d. h. in einem System bleibt man vielleicht 8 Stunden lang angemeldet und in einem anderen nur 2) – haben wir uns für diese Variante entschieden und im Endausbau soll es für zentrale Dienste – soweit technisch möglich – nur mehr die Anmeldung per auth.tugraz.at geben, nur für föderierte Dienste (z. B. die Bestellung von E-Mail-Zertifikaten oder die Teilnahme an der ubook-Aktion) ist weiter die Anmeldung per sso.tugraz.at vorgesehen.

Umgesetzt ist auth.tugraz.at mit OpenID Connect (einer Erweiterung von OAuth2, und sso.tugraz.at mit Shibboleth (einer Erweiterung des SAML-Standards).

Unsere zentralen Services werden die Sitzungen (sessions) für 14 Stunden offen lassen, erst danach wird ein neuerliches Anmelden erzwungen, andere Systeme können - wie oben erwähnt - auch andere Zeiten setzen oder überhaupt eine Neu-Anmeldung (also Single Sign-in) erzwingen, das können wir zentral nicht beeinflussen.
TUGRAZonline warnt aktiv vor dem Ende der Session.

Unsere SSO-Lösungen wurden aus Sicherheitsgründen mit einer 2-Faktor-Authentisierung von privacyIDEA erweitert, d. h., dass nach der Anmeldung mit Username und Kennwort ein weiteres FensterBitte anmelden Sie sich an um diese Bild zu sehen erscheint, in dem ein Einmal-Kennwort (6 Ziffern) einzugeben ist. Alternativ kann man sich im SSO-System auch weiter mit der ID Austria (ebenfalls eine 2-Faktor-Lösung) anmelden.
Da man - wenn man in einem Tab angemeldet ist, in anderen Tabs - in alle SSO-Anwendungen einsteigen kann, ohne sich anzumelden, wird dringend empfohlen eine der folgenden Maßnahmen zu treffen, wenn man den Rechner verlässt ohne ihn herunter zu fahren:

  • Bildschirmsperre (mit sicherem Kennwort) aktivieren.
  • Abmelden.
    Wenn man nicht sicher ist, ob die Abmeldung nur lokal erfolgt: logout.tugraz.at aufrufen (s. u.).
  • Browser schließen.

Anmeldung

Alle Web-Anwendungen werden wie bisher direkt aufgerufen – egal, ob sie in das SSO-System integriert sind oder nicht. Die SSO-Seite selbst muss also niemals direkt aufgerufen werden, die teilnehmenden Web-Anwendungen leiten bei Bedarf zur SSO-Seite um und diese – nach Überprüfung der Authentisierung – wieder zur gewünschten Web-Anwendung zurück.
Anders ausgedrückt: Es gibt keine zentrale Anmelde-Seite, bei der Sie sich z. B. morgens anmelden. Erst wenn wirklich eine Authentisierung notwendig ist, werden Sie dann statt zu einer Anmeldeseite im jeweiligen System zu einer unserer SSO-Seiten (sso.tugraz.at / auth.tugraz.at) - die beiden Systeme sind weitgehend unabhängig, d. h. eine Abmeldung im einen System bewirkt keine Abmeldung im anderen System, auch logout.tugraz.at wirkt nur auf Systeme, an denen man sich per auth.tugraz.at angemeldet hat!) umgeleitet und nach erfolgter Anmeldung (bzw. wenn man schon angemeldet ist: sofort) wieder zum aufrufenden System zurück. In auth.tugraz.at können Sie über den Punkt “Angemeldet bleiben“ verhindern, dass die Sitzung beendet wird, wenn der Browser geschlossen wird, die maximale Sitzungsdauer wird aber auch dadurch nicht beeinflusst. Da das aber ein Sicherheitsproblem darstellen kann, sollten Sie das nur auf biometrisch gesicherten Geräten aktivieren.

Die Anwendung muss dann überprüfen, ob Sie auch autorisiert sind diese Anwendung zu verwenden.

Bei SSO ist (wenn Sie nicht die ID Austria verwenden) immer das TU Graz-Kennwort zu verwenden, nicht das Netzzugangskennwort!

Zentrale Systeme, die aus dem Internet (noch) ohne SSO/2FA erreichbar sind

(hellgrau … in Umsetzung)
  • ivpn.tugraz.at - VPN-Lösung für Institute der TU Graz
  • rds-webaccess.tugraz.at - das RDS-System (Terminal Service) der TU Graz;
    alle von dort erreichbaren Systeme sind mit einem 2. Faktor geschützt.

Sollten Sie ein webbasiertes System kennen, das nicht per SSO abgesichert ist und das nicht in dieser Liste steht, das Sie aber nach dem TU Graz-Kennwort fragt: Bitte geben Sie Ihre Zugangsdaten nicht ein, es könnte sich um eine Phishing-Seite handeln.
Bitte melden Sie uns solche Systeme: Selbst wenn es keine Phishingseiten sind, ist zu hinterfragen, warum nicht auf SSO umgestellt wird oder warum die Seite hier nicht gelistet ist!

Abmeldung - Single Log-out (SLO)

Service-Provider außerhalb des ZID