BIS News

Am 08.01.2025 machen wir den nächsten großen Schritt bei den Verbesserungen der Loginsicherheit, bei dem die Anmeldeseiten der Web-Authentifizierung und des BIS Logins zusammengeführt werden. Wenn Sie nur wissen wollen, ob Sie sich darauf vorbereiten müssen, werfen Sie einen kurzen Blick in diese Checkliste:

Checkliste: Sollte ich mich vorbereiten?

Die Checkliste besteht nur aus einem Punkt:

• Haben Sie sich seit August schon einmal unter login.uni-bielefeld.de an einem der BIS Dienste wie eKVV, PEVZ oder BIKI angemeldet? Oder haben die ‚Meine Uni‘ App verwendet? Oder die Lernräume?

Wenn die Antwort ‚JA‘ ist, dann sind Sie schon perfekt auf den Wechsel eingestellt, alles andere funktioniert automatisch. Sie sollten nur darauf vorbereitet sein, dass die Loginmaske nach der Umstellung bei allen an die Web-Authentifizierung angebundenen Diensten wie zum Beispiel Moodle, Zoom oder dem Ausleihkonto der UB anders aussieht. 

Wenn die Antwort ‚NEIN‘ ist, dann können Sie vor der Umstellung bereits jetzt prüfen, ob z. B. Ihr Web-Passwort den Richtlinien entspricht, damit Sie es ggf. vorher in Ruhe anpassen können. Melden Sie sich dazu bei der Kontenverwaltung der neuen Login-Seite an:

https://login.uni-bielefeld.de/kv/

Wenn das ohne weiteren Hinweis vom Loginsystem funktioniert, dann müssen Sie nichts ändern. Falls Ihr Passwort nicht mehr akzeptiert wird, so finden Sie dort die praktische Seite zum Test eines Passworts, bevor Sie dann Ihr neues Web-Passwort einstellen.

Sie wissen nicht genau, ob die Antwort ‚JA‘ oder ‚NEIN‘ ist? Dann gehen Sie auf Nummer sicher und probieren Sie es einfach auf der oben genannten Seite. 

Was werden wir im Detail umstellen

Mit der Umstellung setzen wir die Serie der im August durchgeführten Meilensteine fort:

• Meilenstein 1: Die Ablösung des BIS Logins verbunden mit der Verfügbarmachung des 2-Faktor-Logins für alle Nutzer*innen
• Meilenstein 2: Die Prüfung der Passwortregelungen beim Login
• Meilenstein 3: Die Umstellung des BIS Logins auf login.uni-bielefeld.de, verbunden mit der Aktivierung der Benachrichtigungen bei Logins von neuen Geräten

Während die letzten Meilensteine das Potential hatten Sie bei Ihrem Zugriff auf die logingeschützen Anwendungen kurz zu stören, z. B. weil ein auf der Sperrliste stehendes Passwort geändert werden musste, wird dieser Schritt die Nutzung der IT-Dienste der Universität vereinfachen, und dabei gleichzeitig die IT-Sicherheit verbessern.

Zur Erklärung: Die zwei bisherigen Welten 

Bisher gibt es zwei große Loginwelten für Anmeldungen an Webanwendungen:

Über die Web-Authentifizierung erfolgt zum Beispiel die Anmeldung zu Moodle, Zoom, dem Ausleihkonto der Universitätsbibliothek und zahlreichen weiteren Services. Die Login-Seite sieht hier heute so aus: 

Die Seite befindet sich unter der Adresse shibboleth.uni-bielefeld.de

Das BIS Login schützt hingegen bisher Anwendungen wie das eKVV, die BIS Prüfungsverwaltung, BIKI oder das PEVZ, aber auch die Lernräume, das Bewerbungs- und Statusportal und die ‚Meine Uni‘-App. Die Loginmaske sieht heute so aus: 

Die Seite befindet sich bereits unter der Adresse login.uni-bielefeld.de

Beide Loginsysteme verwenden heute das gleiche Login – den BITS-Loginnamen bzw. die UniID zusammen mit dem Web-Passwort – und beide Systeme sind Single Sign-on Logins: Einmal angemeldet muss man sich beim Wechsel in die nächste angeschlossene Anwendung nicht erneut anmelden, so lange die Loginsitzung aktiv ist oder man sich nicht bewusst abmeldet.

Allerdings gibt es bisher keine Brücke zwischen beiden Systemen. Das führt zu dem oft kritisierten Zustand, dass man sich zum Beispiel nach dem Login im eKVV mit dem BIS Login beim Wechsel in den Moodle Lernraum erneut mit der Web-Authentifizierung anmelden muss. 

Ein Single Sign-on mit mehr Sicherheit

Durch die Umstellung werden Sie nun auch bei einer Anmeldung zu den Diensten, die an die Web-Authentifizierung angebunden sind, auf der neuen uniweiten Login-Seite landen, die bisher nur beim BIS Login verwendet wurde. Die Login-Seite der Web-Authentifizierung wird nicht mehr verwendet.

Diese Zusammenführung hat große Vorteile: 

• Sie müssen sich bei allen angebundenen Diensten nur noch ein einziges Mal anmelden, und können so z. B. nahtlos vom eKVV in die Moodle Kurse wechseln. Dieses große Single Sign-on System wird in Zukunft noch auf weitere Dienste der Universität ausgeweitet
• Gleichzeitig werden die Sicherheitseigenschaften, die bisher nur im BIS Login nutzbar waren, nun auf alle diese Dienste ausgedehnt. Das sind u. a. die Prüfungen der Passwortqualität, Benachrichtigungen bei Logins von neuen Geräten, Schutz vor Passwortrateversuchen, die Übersicht der sicherheitsrelevanten Ereignisse in der Kontenverwaltung und die Verfügbarkeit des 2-Faktor-Logins

Ist das System der Web-Authentifizierung damit überflüssig geworden? Ganz im Gegenteil: Während das bisherige BIS Login im Wesentlichen für die Sicherheitsfunktionen sorgt, ist das hinter der Web-Authentifizierung liegende, sogn. Shibboleth System die Plattform, die die zahlreichen IT-Dienste integriert und hier immer weiter ausgebaut wird. Und auch wichtige Datenschutzfunktionen bietet:

Die Zustimmung zur Datenweitergabe in der Web-Authentifizierung bleibt erhalten

Beim ersten Login in einen neuen, an die Web-Authentifizierung angeschlossenen Dienst erhalten Sie einen Dialog in dieser Art: 

Hier wird genau darstellt, in welche Art von Dienst Sie sich einloggen und welche Ihrer Daten der Dienst empfangen möchte. Diese wichtige Funktion bleibt auch nach der Integration erhalten.

Die bisher beim Login über die Web-Authentifizierung verfügbare Checkbox ‚Attributfreigabe für diesen Dienst wiederrufen‘ wird hingegen zunächst entfallen. Diese Checkbox hat nur den Effekt, dass Sie beim nächsten Login in den entsprechenden Dienst erneut nach der Freigabe gefragt werden. Sie hatte aber nie die Wirkung, dass Ihre bei früheren Nutzungen an den Dienst übertragenen Daten dort auch gelöscht werden. Auch gab es keinen Weg, wie man einen Überblick über alle erteilten Freigaben erhalten und diese ggf. global löschen konnte. In technischer Hinsicht ist es nach jetzigem Stand aber möglich so einen Überblick in der Kontenverwaltung anzubieten. Dies wird zu einem späteren Zeitpunkt erfolgen.

Auch das Single Sign-out wird größer, aber (noch) nicht vollständig 

Die Möglichkeit sich mit einem einzigen Login bei vielen Diensten auf einmal anzumelden benötigt auch eine Funktion sich bei allen diesen Diensten mit einem Klick wieder abzumelden. Auch wenn es heute auf dem eigenen, mit Sperrbildschirm geschütztem Rechner nicht unbedingt notwendig ist sich zum Beispiel zum Feierabend abzumelden, ist es umso wichtiger auf Geräten, die man nicht allein verwendet.

Im Uni Login findet dieses Single Sign-out über die Adresse https://login.uni-bielefeld.de/idp/logout statt, die Seite zeigt Ihnen dann diese Übersicht der Dienste, bei denen Sie abgemeldet wurden: 

Die Web-Authentifizierung verfügt bisher über keine entsprechende Funktion, diese ist auf Grund der enormen Anzahl an Diensten, in die Logins erfolgen können, auch nicht einfach umsetzbar.

Die Integration der beiden Loginsysteme bringt aber auch hier eine Verbesserung: Das Single Sign-out im Uni Login beendet dann auch die Loginsitzung in der Web-Authentifizierung. Beim Zugriff auf einen Dienst, der an die Web-Authentifizierung angebunden ist, werden Sie also wieder nach Ihrem Login gefragt. 

Es bleiben aber zwei Ausnahmen, die zurzeit noch ungelöst sind:

1. Wenn Sie auf das Logout in einer der Anwendungen klicken, die an die Web-Authentifizierung angebunden sind, und dabei nicht auf die Logoutseite des Uni Logins geschickt werden, sind Sie nicht wirklich abgemeldet. Da Ihre Loginsitzung in der Web-Authentifizierung weiterhin besteht werden Sie beim erneuten Zugriff auf die Anwendung, von der Sie sich gerade abgemeldet haben, sofort wieder angemeldet
2. Das zweite Problem betrifft das umgekehrte Vorgehen: Sie melden sich über das Uni Logout ab und damit auch bei der Web-Authentifizierung. Aber wenn Sie sich vorher bei einer Anwendung angemeldet haben, die nicht in der Liste der Anwendungen in der Abmeldeseite steht, bleiben Sie in dieser Anwendung eingeloggt

Es gibt auch hier eine technische Idee, wie dieses Problem in Zukunft gelöst werden kann, aber diese ist noch nicht verfügbar. Für die IT-Verantwortlichen solcher Anwendungen haben wir am Ende des Textes Hinweise dazu, wie sich dieses Problem für einzelne Anwendungen lösen lässt. 

Wenn Sie selbst auf Nummer sicher gehen wollen bei der Abmeldung müssen Sie leider zwei Schritte machen:

• Sie melden sich über das Uni Logout ab: https://login.uni-bielefeld.de/idp/logout
• Danach melden Sie sich direkt in der Anwendung ab, um die es Ihnen geht. Ggf. müssen Sie dies für weitere Anwendungen wiederholen

Eine Alternative kann es noch sein eine Funktion zu nutzen, die heute viele Webbrowser anbieten: Bei der Beendigung des Webbrowsers alle Cookies löschen zu lassen. Das wird in den allermeisten Fällen Ihre Logins in allen System aufheben. Es hat aber den Nachteil, dass Sie dadurch auch häufiger als gedacht Benachrichtigungen zu Logins von neuen Geräten bekommen werden. Siehe dazu die hier gesammelten Hinweise. 

Hinweise für IT-Verantwortliche

Wenn Sie für IT-Systeme an der Universität verantwortlich sind haben wir hier weitergehende Hinweise für Sie. Einmal dazu, wie Sie Ihre IT-Systeme in den Single Sign-on Verbund integrieren können, und auch dazu, wie das Single Sign-out gewährleistet werden kann:

Aufnahme in den Single Sign-on Verbund

Die Integration eines IT-Systems in den Verbund aus Web-Authentifizierung / Shibboleth und BIS Login hat viele Vorteile: Für Ihre Nutzer*innen wird die Anmeldung an Ihrem IT-System zu einem Erlebnis, welches sich nahtlos in den Zugriff auf zahlreiche andere IT-Dienste der Universität einfügt.

Und Sie als Betreiber*in des Dienstes profitieren von den leistungsfähigen Sicherheitsfunktionen des Loginsystems und müssen sich nicht um Fragen wie Passwortsicherheit oder Mehrfaktorlogin kümmern.

Wenn Sie ein IT-System betreiben oder einführen, dann sollte es eine Authentifizierung per SAML Token oder OpenID Connect (OIDC) unterstützen. Ist eine dieser Authentifizierungsmethoden vorhanden, so sollte eine Integration ohne Probleme möglich sein.

Nach der initialen Einrichtung, bei der wir beraten können, ist dann im wesentlichen der jährliche Zertifikatswechsel im Shibboleth eine Aufgabe, die ein manuelles Eingreifen erfordern kann. Viele Produkte können aber auch diesen Schritt automatisch machen. Ist Ihr Dienst in der DFN AAI registriert, so ist normalerweise überhaupt keine weitere Konfiguration notwendig.

Falls Sie einen Dienst betreiben, der weder SAML noch OIDC unterstützt, ist ggf. eine individuelle Anbindung möglich. Dazu muss der Dienst eine hohe Relevanz für die gesamte Universität sowie eine große Nutzungsgruppe und –häufigkeit haben.

Aufnahme in das Single Sign-out

Bis zur Verfügbarkeit einer Lösung, bei der sich die über Shibboleth erfolgten Logins mit einem Klick aufheben lassen, gibt es die zuvor beschriebenen Lücken beim Single Sign-out. Es ist aber möglich Anwendungen in das zentrale Single Sign-out aufzunehmen, wenn sie diese Bedingungen erfüllen:

1. Im Fall eines von Nutzer*innen in der Anwendung selbst ausgelösten Logouts muss nach dem lokalen Logout ein Redirect im Webbrowser auf die zentrale Single Sign-out Seite erfolgen
2. Damit beim Logout aus einer anderen Anwendung heraus auch ein Logout in Ihrer Anwendung über die zentrale Single Sign-out Seite erfolgen kann muss Ihre Anwendung eine Webadresse zur Verfügung stellen, die beim Aufruf im Webbrowser das lokale Logout durchführt. Als Ergebnis sollte nur so etwas wir ein 1-Pixel-Bild geliefert werden, da diese Adresse in der Single Sign-out Seite über ein IMG-Tag eingebunden wird

Wenn Ihre Anwendung diese Punkte erfüllt können wir sie in die Liste der expliziten Abmeldungen aufnehmen und damit haben Sie die Sicherheit, dass Ihre Nutzer*innen nicht versehentlich angemeldet bleiben.