Single Sign On mit SAML und Shibboleth
Das Single Sign On (SSO) - Verfahren erlaubt die Nutzung von PlagAware ohne die Erstellung eines eigenen Benutzerkontos bei PlagAware. Stattdessen wird die Authentifizierung von Benutzern über den zentralen Anmeldedienst der Heimatorganisation durchgeführt, sodass das Anlegen und die Verwaltung von Benutzerkonten entfällt.
Single Sign On, SAML und Shibboleth
Das Wichtigste auf einen Blick
- check_circlePlagAware unterstützt die Authentifizierung mit der SAML 2.0 Methode und hierauf basierenden Erweiterungen wie z.B. Shibboleth.
- check_circlePlagAware fungiert als ServiceProvider (SP) mit der EnitityId https://www.plagaware.com/saml und ist bei der Authentifizierungs- und Autorisierungs-Infrastruktur des Deutschen Forschungsnetzes (DFN AAI) registriert.
Single Sign On (SSO) ist ein Mechanismus, mit dem die Anmeldung von Benutzern nicht von PlagAware selbst, sondern durch die Heimatorganisation (z.B. der Universität) der Benutzer durchgeführt wird. Das hat den Vorteil, dass eine einmalige Anmeldung des Benutzers bei der Universität ausreicht, um eine Vielzahl von Diensten nutzen zu können. Außerdem wird die Datensicherheit erhöht, da PlagAware den Benutzernamen und das Kennwort nicht speichern muss, um eine Anmeldung zu legitimieren.
Außerdem erleichtert SSO die Verwaltung der Benutzer einer PlagAware-Lizenz, da die Benutzeraccounts zentral von der Infrastruktur der Heimatorganisation gesteuert werden. Ein manuelles Hinzufügen und Entfernen von Benutzern zur Lizenz entfällt. Das SSO-verfahen von Plagaware basiert auf SAML (Security Assertion Markup Language), einem standardisierten Protokoll, mit dem Identitäts-Anbieter (IdP), also z.B. Universitäten, Authorisierungsdaten an den Dienstanbieter (Service Provider, SP) übertragen können.
Wie funktioniert die Anmeldung mit Ihrer Organisation?
Mit der Einrichtung von PlagAware für Ihre Organisation richten wir auch eine individuelle Anmeldeseite (z.B. https://my.plagaware.com/login/meine-uni) ein. Wenn Sie auf "mit Organisation anmelden" klicken, werden Sie zu Ihrer Heimatorganisation weitergeleitet. Sind Sie dort bereits angemeldet, brauchen sie nichts weiter zu tun - Sie können PlagAware direkt nutzen. Ansosten zeigt Ihnen Ihre Heimatorganisation einen Anmeldeseite an, mit der Sie sich mit den Zugangsdaten Ihrer Organisation anmelden können.
Nach der ersten erfolgreichen Anmeldung wird diese Seite als Standard-Anmeldeseite für Sie gespeichert. Wenn Sie sich also in Zukunft bei PagAware anmelden, wird direkt Ihre individuelle Anmeldeseite eingeblendet. Wollen Sie sich mit einem anderen Account anmelden, klicken Sie einfach auf "Mit E-Mail und Passwort anmelden", um zum PlagAware Login mit Benutzername und Passwort zurück zu kehren.
Wenn Sie PlagAware mit single Sign On nutzen, kennen wir Ihre Zugangsdaten nicht. Wir können daher auch Ihr Passwort nicht zurücksetzen, falls Sie es vergessen haben. Bitte wenden Sie sich in diesem Fall an das Account-Management in Ihrer Organisation.
Tipp: Sie haben die Anmeldeseite Ihrer Organisation vergessen?
Falls Sie die Anmeldeseite Ihrer Organisation vergessen haben, ist das kein Problem. Klicken Sie einfach auf den Link Mit Organisation anmelden auf der Login-Seite und geben Sie die Mailadresse Ihrer Organisation ein. Wir ermitteln anhand Ihrer Mailadresse Ihre Organisation und leiten Sie zu deren Login-Seite weiter. Falls Ihre Organisation noch kein Single Sign On eingerichtet, blenden wir eine entsprechende Mitteilung ein.
Für Admins: Einrichtung von Single Sign On
Die Entity ID von Plagaware lautet https://www.plagaware.com/saml. Unter dieser Adresse finden Sie auch unser Metadaten-File, das Sie regelmäßig herunterladen können. Alternativ erhalten Sie die Metadaten von der Authentifizierungs- und Autorisierungs-Infrastruktur des DFN (DFN-AAI)
PlagAware verwendet folgende Attribute, um die Authentifizierung durchzuführen:
- check_circlePairwise Id (SAML V2.0 Pairwise Subject Identifier): Eindeutiges, dauerhaftes Pseudonym eines Benutzers, anhand dessen wir den Beenutzer wiedererkennen können. Beispiel: MCE6NXEQ3FC3PUKY4M75EYCOWN4TGKBH@testscope.dfn.de.
- check_circleDienstliche E-Mail-Adresse: Mailadresse des Nutzers. An diese Adresse senden wir z.B. die Ergebnisse der Plagiatsprüfung. Beispiel: mustermann@uni-musterstadt.de.
- check_circleArt der Zugehörigkeit plus Domain Name / Scope: Art der Zugehörigkeit des Nutzers zur Organisation. Beispiel: staff@uni-musterstadt.de.
Wenn Sie Single Sign On nutzen wollen, schicken Sie bitte einfach eine Nachricht an den PlagAware-Support und nennen uns die Entity ID Ihres Identitäts-Providers (IdP). Wir werden Ihre Organisation dann für SSO freischalten und auch die individuelle Anmeldeseite erstellen. Falls Ihre Lizenz nicht für alle Mitarbeiter Ihrer Organisation gilt, muus darüber hinaus eine Zuordnnung der SAML-Attribute zur entsprechenden Lizenz oder Unterlizenz vorgenommen werden.
Zuordnung der SAML-Attribute zur PlagAware Lizenz
Im Anmeldeprozess führen wir eine Zuordnung der übermittelten Attribute des Benutzers zur PlagAware-Lizenz (oder Unterlizenz) durch. Diese Zuordnung nehmen wir anhand einer Kombination aus einer oder mehrerer der folgenden Attribute vor:
- check_circleMailadresse des Benutzers (z.B. *@uni-musterstadt.de),
- check_circleScoped Affiliation und (z.B. staff@uni-musterstadt.de)
- check_circleBerechtigungen (eduPersonEntitlement, z.B. http://plagaware.com/license/PLAG-DEMO-EXCL1)
Beim Anlegen der Lizenzen und Unterlizenzen werden wir Sie danach fragen bzw. Sie beraten, für welche Kombination der Attribute die jeweilige Lizenz Anwendung finden soll. In der Regel werden wir die Lizenz so anlegen, dass sie für alle Mitarbeiter der Organisation gilt (siehe obiges Beispiel). Falls Sie die Lizenz jedoch nur für einen Teilbereich der Organisation (z.B. ein Institut) erworben haben oder eine Unterlizenz für einen speziellen Bereich gelten soll (z.B. Selbstprüfung für Studierende, wird dies durch eine abweichende Kombination abgebildet. Eine Besipielkonfiguration kann wie folgt ausehen:
| Priorität | Affiliation | Mail-Adresse | Entitlement | Lizenz |
|---|---|---|---|---|
| looks_one | * | * | http://plagaware.com/license/PLAG-DEMO-EXCL1 | PLAG-DEMO-EXCL1 |
| looks_two | Staff | *@bwl.uni-musterstadt.de | * | PLAG-DEMO-BWL |
| looks_3 | Staff | * | * | PLAG-DEMO-STAFF |
| looks_4 | Student | * | * | PLAG-DEMO-STUD |
Die Regeln werden dabei in der Reihenfolge ihrer Priorität bearbeitet; spezifischere Regelen sollten also vor allgemeineren Regeln aufgeführt werden. Das Beispiel lässt damit folgendermaßen interpretieren:
- looks_oneBenutzer mit der speziellen Berechtigung http://plagaware.com/license/PLAG-DEMO-EXCL1 werden direkt der Lizenz PLAG-DEMO-EXCL1 zugeordnet, unabhängig von der Mailadresse oder der Affiliation.
- looks_twoMitarbeiter (Affiliation: Staff) der Organisation mit einer Mailadresse, die auf @bwl.uni-musterstadt.de endet, werden der Lizenz PLAG-DEMO-BWL zugeorndet.
- looks_3Alle restlichen Mitarbeiter werden der Lizenz PLAG-DEMO-STAFF zugordnet.
- looks_4Alle Studenten (Affiliation: Student) werden der Lizenz PLAG-DEMO-STUD zugordnet.
Tipp: Reihenfolge der Regeln
Die Regeln werden entsprechend ihrer Priorität verarbeitet. Trifft eine Regel zu, werden keine weiteren Regeln berücksichtigt.
Trifft keine Regel zu, wird eine Hinweismeldung ausgegeben, dass Ihre Organisation für diesen Benutzer keinen Zugriff auf PlagAware gestattet.
