Unsere zentralen Services werden die Sitzungen (sessions) für 9 Stunden offen lassen, erst danach wird ein neuerliches Anmelden erzwungen, andere Systeme können - wie oben erwänt - auch andere Zeiten setzen oder überhaupt eine Neu-Anmeldung (also Single Sign-in) erzwingen, das können wir zentral nicht beeinflussen.
Umgesetzt ist SSO für
sso.tugraz.at mit Shibboleth (einer Erweiterung des SAML-Standards) und
für auth.tugraz.at mit OpenID Connect (einer Erweiterung von OAuth2), wobei in beiden Fällen die
Handy-Signatur
integriert wurde, wodurch jedes angeschlossene System auch automatisch eine
2-Faktor-Authentisierung
bekommt, was die Sicherheit z. B. beim Einstieg über fremde bzw.
unsichere Rechner deutlich erhöht.
Da man aber - wenn man in einem Tab angemeldet ist, in anderen Tabs - in alle
SSO-Anwendungen einsteigen kann ohne sich anzumelden, wird dringend
empfohlen eine der folgenden Maßnahmen zu treffen, wenn man den Rechner
verläßt ohne ihn herunter zu fahren:
Alle Web-Anwendungen werden wie bisher direkt aufgerufen – egal, ob sie in das
SSO-System integriert sind oder nicht. Die SSO-Seite selbst muss also niemals
direkt aufgerufen werden, die teilnehmenden Web-Anwendungen leiten bei Bedarf
zur SSO-Seite um und diese – nach Überprüfung der Authentisierung –
wieder zur gewünschten Web-Anwendung zurück.
Anders ausgedrückt: Es gibt keine zentrale Anmelde-Seite, bei der Sie
sich z. B. morgens anmelden. Erst wenn wirklich eine Authentisierung
notwendig ist, werden Sie dann statt zu einer Anmeldeseite im jeweiligen
System zu einer unserer
Diese Zustimmung („Consent“) können Sie auch später
wieder zurückziehen.
Die Anwendung überprüft dann, ob Sie auch autorisiert sind, um die Anwendung zu verwenden.
Bei SSO ist (wenn Sie nicht die Handy-Signatur verwenden) immer das TU Graz-Kennwort zu verwenden, nicht das Netzzugangskennwort! |
Sollten Sie ein webbasiertes System kennen, das nicht per SSO abgesichert ist
und das nicht in dieser Liste steht, das Sie aber nach dem
TU Graz-Kennwort fragt: Bitte geben Sie Ihre Zugangsdaten nicht ein, es
könnte sich um eine Phishing-Seite
handeln. Bitte melden Sie uns solche Systeme: Selbst wenn es keine Phishingseiten sind, ist zu hinterfragen, warum nicht auf SSO umgestellt wird oder warum die Seite hier nicht gelistet ist! |