Single Sign-On mit Shibboleth IdP und SP - Aufbaukurs
Shibboleth erlaubt feingranulares Single Sign-On (SSO) für Organisationen mit komplexen Anforderungen an das Identity Management, basierend auf den Standards SAML und OpenID Connect. Die beiden Produkte Shibboleth IdP und Shibboleth SP können SSO für fast beliebige Web-Anwendungen abdecken. Dabei sind sie von Grund auf Datenschutz-orientiert und hochgradig konfigurierbar. Sie sind ideal für Organisationen, die ein selbst-gehostetes Identity Management innerhalb einer Föderation aufbauen wollen.
In diesem Kurs lernen Sie die vielfältigen Einsatzgebiete des Shibboleth IdP und SP kennen. In den vier Kurstagen wird eine komplexe SSO-Umgebung aufgebaut.
- Web-SSO mit SAML und OpenID Connect
- Shibboleth Identity Provider (IdP) im Überblick
- Shibboleth Service Provider (SP) und mod_auth_openidc zur Absicherung von Web-Anwendungen
- Identity Federations - Interaktionen mit anderen SAML/OIDC-Produkten
- Anschluss des Shibboleth IdP an LDAP- und MFA-Server
Es gibt zwei zusätzliche zweitägige Kurse für a) den Betrieb und die Grundlagen und die tägliche Arbeit mit dem Shibboleth IdP, sowie b) die Absicherung von Web-Anwendungen mit dem Shibboleth SP.
Trainer und Dozenten
Dr. Martin Hitschel hat über 15 Jahre Erfahrung im Consulting und der Schulung für Shibboleth und weitere SSO-Produkte. Er ist bei der DAASI International beschäftigt, einem führenden Anbieter für Open-Source Identity- und Access-Management.
Voraussetzungen
Es werden Grundkenntnisse der Administration von Linux-Servern vorausgesetzt. Erfahrungen mit XML und HTTP sind vorteilhaft. Wir verwenden die folgenden Technologien im Kurs: Apache Webserver, Tomcat Java Servlet Container, OpenLDAP und privacyIDEA bzw. eduMFA. Vorkenntnisse sind hier hilfreich, aber keine Voraussetzung.
Sie sollten sich etwas mit dem Shibboleth IdP auskennen, daher empfehlen wir den Besuch der Shibboleth IdP Grundlagenschulung oder das Selbststudium mit dem Online-Kurs des DFN.
Inhalt
Theoretische Inhalte
- Grundlagen des Identity- und Access Management
- Überblick SSO-Technologien: SAML, OIDC, CAS, Kerberos
- Überblick Security Assertion Markup Language (SAML)
- Einführung OpenID Connect (OIDC) und Vergleich mit SAML
- Mehrfaktorauthentifizierung (MFA) - Konzepte
- Überblick Shibboleth IdP und SP
Hands-On Shibboleth IdP
- Installation Shibboleth IdP
- Interaktion IdP mit gestelltem SAML SP
- Installation Dummy-OIDC-Anwendung und Interaktion mit IdP
- Anschluss IdP an gestellten LDAP-Server
- Freigabe Benutzerattribute über SAML und OIDC zur Nutzung in Web-Anwendungen
- Mehrfaktor-Authentifizierung (MFA) am IdP mit privacyIDEA bzw. eduMFA
Hands-On Shibboleth SP / SAML
- Installation Shibboleth SP mit Dummy-CGI-Anwendung
- Interaktion SP mit aufgebautem IdP
- Aufbau SAML Föderation: mehrere SPs und IdPs
- Installation IdP Discovery Service und Nutzung des SP mit mehreren IdPs
- Optionen zur Anbindung von Anwendungen (lazy vs eager Session, forceAuthn, MFA anfordern)
Hands-On OpenID Connect / OIDC
- Installation OIDC-Plugin im aufgebauten IdP
- Installation Dummy-Anwendung mit mod_auth_openidc
- Interaktion mit dem aufgebauten IdP
- OIDC Discovery
- Optionen zur Anbindung von Anwendungen (scope, prompt, max_age, MFA anfordern)
- Interaktion mit gestelltem Keycloak: einmal Keycloak, einmal Shibboleth IdP als SSO Proxy
Kurszeiten
Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An Kurstagen gibt es bei uns ab 8 Uhr Frühstück.
Unsere Kurse beginnen um 9 Uhr und enden um 18 Uhr.
Neben den kleinen Pausen gibt es eine Stunde Mittagspause mit leckerem, frisch in unserer Küche zubereitetem Essen.
Nach der Schulung anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.