Shibboleth 3 ist auf dem Weg: DAASI International gibt Empfehlung für IdP3

Der Shibboleth Identity Provider 3 (IdP3) ist seit Ende Dezember 2014 verfügbar und auf dem besten Weg, seinen Vorgänger, den Shibboleth IdP 2.4.x, als effektives Verfahren für föderiertes Single Sign-On (SSO) im Web abzulösen. Stets Vorreiter modernster IAM-Technologie, prüft DAASI International bereits seit dem Beta-Release des Shibboleth IdP3 intensiv dessen Möglichkeiten sowie die Vor- und Nachteile der neuen Version, die weiterhin über SAML 2.0 mit den Service Providern (SP) interagiert und sogar noch zu SAML1-SPs Protokoll-kompatibel ist. Die aktuelle Version wird von DAASI International als für den produktiven Einsatz bereit empfohlen.

Die aktuelle Version 3.1.2 wurde im vergangenen halben Jahr sowohl von vielen Einrichtungen weltweit als auch von DAASI International in Tübingen intensiv getestet. Neue Merkmale sind vor allem

  • ein verbesserter Session-Storage-Mechanismus, sodass der IdP3 endlich vollständig Cluster-fähig ist
  • die Möglichkeit, Workflows über Spring Web Flow zu definieren (z.B. für das Handling von Passwort-Fehleingaben oder Zwei-Faktor-Authentifizierung)
  • ein eingebautes Consent-Modul, das ähnlich zum bisherigen IdP-Plugin „uApprove“ funktioniert, um die Zustimmung der Benutzer zur Weitergabe ihrer Daten an Dienste zu ermöglichen

Das lange verschobene, konzipierte und diskutierte Single Logout-Feature (SLO) – also die Möglichkeit für den Nutzer sich bei allen während einer Session benutzten Dienste abzumelden –  wurde für die Version 3.2.0 angekündigt, die für Herbst 2015 geplant ist.  Bislang erfolgte seitens des IdP2.x gar keine Benachrichtigung der an der SSO-Session beteiligten Dienste. Wollte eine Organisation dies, kam entweder ein vom ungarischen NIIF-Institut modifizierter IdP zum Einsatz, oder man beschränkte sich auf eine Front-Channel-basierte Lösung wie das in mehreren Kundenprojekten erfolgreich eingesetzte DAASI International-oganisationsinterne SLO. Der geplante IdP 3.2.0 wird nun eine noch stabilere Back-Channel-Notification implementieren.

Hausintern setzt DAASI International bereits die aktuelle IdP-Version 3 mit Erfolg ein und konnte hierbei nach anfänglichen Kinderkrankheiten der 3.0-Version bislang nur positive Erfahrungen machen. Daher kann DAASI International ihren Kunden  bereits jetzt empfehlen, auf die Version 3.1.x zu migrieren. Wir erwarten nach der Einführung von 3.2.0 jedoch noch einige „Issues“ mit dem neuen SLO-Feature, sodass sich ein gewünschter Produktivgang inklusive SLO wahrscheinlich noch etwas verzögern wird. Die gute Nachricht: entgegen früheren Versionen ist ein Update innerhalb der 3.xer Reihe ist relativ einfach und jederzeit mit wenig Aufwand möglich. Sobald das neue Feature zur Verfügung steht und die Bugs behoben sind, wird DAASI International ihre Supportkunden mit einem Migrationskonzept kontaktieren, an dem ihre Experten bereits seit über einem halben Jahr arbeiten. Gerne stehen wir aber auch schon jetzt für Migrationsprojekte zur Verfügung.

Menü
Consent Management Platform von Real Cookie Banner