LDAP

Authentifizierung und Autorisierung mittels LDAP (Lightweight Directory Access Protocol)

Nutzen

Der LDAP stellt für berechtigte Clients grundlegende Authentifizierungsdaten wie Name und popID über eine LDAP-Schnittstelle zur Verfügung. Im LDAP werden alle Autorisierungsmerkmale vorgehalten, die für Anwendungen nötig sein könnten.

Lesende Rechte zur Durchsuchung des LDAP erhalten nur Serviceaccounts. Diese Rechte werden in ihrem genauen Umfang vor der Vergabe anhand der konkreten Anforderung definiert.

Zugang und Voraussetzungen

Um den Schutz der gespeicherten Daten zu gewährleisten und Missbrauch zu verhindern, ist eine Anbindung an den zentralen LDAP-Server nur im Rahmen eines Antrags- und Prüfungsverfahrens möglich.

Handelt es sich um eine Web-Anwendung, wird der Antrag um Gründe ergänzt, aus denen Shibboleth für die Nutzer-Authentifizierung nicht möglich bzw. nicht geeignet ist.

Anwendungen, die vom LDAP angebotene Attribute lesen sollen, benötigen einen LDAP-Service-Account. Dieser ist grundsätzlich nur Diensten vorbehalten, die unter der administrativen Hoheit des KIM betrieben werden.

Auf dem Test-System muss der fehlerfreie Zugriff und die Konformität mit den im Antrag angegebenen technischen Informationen nachgewiesen werden.

Ist der Test abgeschlossen, ist eine Genehmigung durch das zentrale Informationssicherheitsmanagement einzuholen. Hierzu werden diesem die vom Diensteanbieter bereitgestellten Informationen und die Ergebnisse der Tests zur Prüfung vorgelegt.