Single Sign-on (SSO)

Anmeldung
Abmeldung
Service-Provider außerhalb des ZID

Aus Sicherheitsgründen (z. B. wegen Phishing) baut der Zentrale Informatikdienst für die zentralen webbasierten Systeme die Verwendung von Single Sign-on (ein Mal anmelden und in jedem verbundenen System identifiziert sein) bzw. Single Sign-in (für jedes System auf derselben - bekannten - Seite anmelden) laufend aus, die User sollten ihr Kennwort nur mehr an einer einzigen Stelle eingeben und sehr aufmerksam reagieren, wenn sie auf anderen Seiten zur Eingabe des Kennworts aufgefordert werden.
Obwohl uns auch die Risiken bewusst sind – so gibt es z. B. keine einheitliche Lösung für ein „Single Log-out“ und die einzelnen Systeme können unterschiedlich lange gültige Sessions haben (d. h. in einem System bleibt man vielleicht 8 Stunden lang angemeldet und in einem anderen nur 2) – haben wir uns für diese Variante entschieden und im Endausbau soll es für zentrale Dienste – soweit technisch möglich – nur mehr diese Lösung geben, die auch für föderierte Dienste (z. B. die Bestellung von E-Mail-Zertifikaten, die Teilnahme an der ubook-Aktion oder die Anmeldung bei eduGAIN-Diensten zum Einsatz kommt.

Unsere zentralen Services (sso.tugraz.at, auth.tugraz.at und online.tugraz.at) werden die Sitzungen (sessions) für 10 Stunden offen lassen, erst danach wird ein neuerliches Anmelden erzwungen, andere Systeme können - wie oben erwähnt - auch andere Zeiten setzen oder überhaupt eine Neu-Anmeldung (also Single Sign-in) erzwingen, das können wir zentral nicht beeinflussen.
TUGRAZonline warnt aktiv vor dem Ende der Session.

Umgesetzt ist SSO für sso.tugraz.at mit Shibboleth (einer Erweiterung des SAML-Standards) und für auth.tugraz.at mit OpenID Connect (einer Erweiterung von OAuth2).
Unsere SSO-Lösungen wurden aus Sicherheitsgründen mit einer 2-Faktor-Authentisierung von privacyIDEA erweitert, d. h., dass nach der Anmeldung mit Username und Kennwort ein weiteres FensterBitte anmelden Sie sich an um diese Bild zu sehen erscheint, in dem ein Einmal-Kennwort (6 Ziffern) einzugeben ist. Alternativ kann man sich im SSO-System auch weiter mit der Handy-Signatur (ebenfalls eine 2-Faktor-Lösung) anmelden.
Da man - wenn man in einem Tab angemeldet ist, in anderen Tabs - in alle SSO-Anwendungen einsteigen kann, ohne sich anzumelden, wird dringend empfohlen eine der folgenden Maßnahmen zu treffen, wenn man den Rechner verlässt ohne ihn herunter zu fahren:

  • Bildschirmsperre (mit sicherem Kennwort) aktivieren.
  • Abmelden.
    Wenn man nicht sicher ist, ob die Abmeldung nur lokal erfolgt: logout.tugraz.at aufrufen (s. u.).
  • Browser schließen.

Anmeldung

Alle Web-Anwendungen werden wie bisher direkt aufgerufen – egal, ob sie in das SSO-System integriert sind oder nicht. Die SSO-Seite selbst muss also niemals direkt aufgerufen werden, die teilnehmenden Web-Anwendungen leiten bei Bedarf zur SSO-Seite um und diese – nach Überprüfung der Authentisierung – wieder zur gewünschten Web-Anwendung zurück.
Anders ausgedrückt: Es gibt keine zentrale Anmelde-Seite, bei der Sie sich z. B. morgens anmelden. Erst wenn wirklich eine Authentisierung notwendig ist, werden Sie dann statt zu einer Anmeldeseite im jeweiligen System zu einer unserer SSO-Seiten (sso.tugraz.at / auth.tugraz.at - die beiden Systeme sind aktuell völlig unabhängig, d. h. eine Abmeldung im einen System bewirkt keine Abmeldung im anderen System, auch logout.tugraz.at wirkt nur auf Systeme, an denen man sich per sso.tugraz.at angemeldet hat!) umgeleitet und nach erfolgter Anmeldung (bzw. wenn man schon angemeldet ist: sofort) wieder zum aufrufenden System zurück, dabei werden Sie je nach System noch gefragt, ob Sie einverstanden sind, dass die anfragende Seite die angefragten Informationen bekommmen darf.
Diese Zustimmung („Consent“) können Sie auch später wieder zurückziehen.

Die Anwendung überprüft dann, ob Sie auch autorisiert sind, um die Anwendung zu verwenden.

Bei SSO ist (wenn Sie nicht die Handy-Signatur verwenden) immer das TU Graz-Kennwort zu verwenden, nicht das Netzzugangskennwort!

Zentrale Systeme (noch) ohne SSO

  • adfs365.tugraz.at - die Anmeldeseite für Office 365 ProPlus
  • david.tugraz.at - das WebDAV-System für www.staff.tugraz.at
  • git.tugraz.at - das Git-System (Versionskontrolle) der TU Graz
  • ivpn.tugraz.at - VPN-Lösung für Institute der TU Graz
  • rds-webaccess.tugraz.at - das RDS-System (Terminal Service) der TU Graz
  • sage.tugraz.at - OpenSource Mathematik-Software
  • svn.tugraz.at - das Subversion-System der TU Graz

Sollten Sie ein webbasiertes System kennen, das nicht per SSO abgesichert ist und das nicht in dieser Liste steht, das Sie aber nach dem TU Graz-Kennwort fragt: Bitte geben Sie Ihre Zugangsdaten nicht ein, es könnte sich um eine Phishing-Seite handeln.
Bitte melden Sie uns solche Systeme: Selbst wenn es keine Phishingseiten sind, ist zu hinterfragen, warum nicht auf SSO umgestellt wird oder warum die Seite hier nicht gelistet ist!

Abmeldung - Single Log-out (SLO)

Service-Provider außerhalb des ZID