Hinweise für die Verwendung von SAML zur Anmeldungen bei "LexisNexis 360" der LexisNexis Verlag ARD Orac GmbH & Co KG (im Folgenden "der Verlag" genannt).
Der global eindeutige jeweilige Name der Services lautet
https://cdc13-signin.lexisnexis.com/lnaccess/fed/authnfür das Testsystem, sowiehttps://signin.lexisnexis.com/lnaccess/fed/authnfür das ab Sept 2019 gültige Produktivsystem.
Siehe auch Service Providers für den Servicekatalog aller eduID.at-Services, inkl. ausgewählter technischer Daten.
Attribute
Folgende minimale Daten werden von der Anwendung benötigt:
Diese für österreichische Institutionen geltenden minimalen Datenanforderungen stellen eine deutliche Verbesserung gegenüber der Praxis etwa in Frankreich dar, wo zahlreiche weitere personenbezogene Daten als "notwendig" angefordert werden.
- Eine eindeutige pseudonyme Kennung
- SAML 2.0 persistent NameID (wird nebenbei eingerichtet, wenn nach eduID.at-Dokumentation die neuen SAML-Standardattribute
subject-idundpairwise-idkonfiguriert werden) - oder alternativ: eduPersonTargetedID (nur, wo dies schon von früher eingerichtet wurde; sollte nicht mehr neu hinzugefügt werden)
- SAML 2.0 persistent NameID (wird nebenbei eingerichtet, wenn nach eduID.at-Dokumentation die neuen SAML-Standardattribute
- eduPersonScopedAffiliation zur Autorisierung (siehe unten)
IP-Adressen
Manchen BenutzerInnengruppen wird dem Vernehmen nach (ähnlich RDB) kein Fernzugriff ("off campus") gestattet. Daher müssen Institutionen vermutlich weiterhin jene IP-Adressbereiche, die "on campus"-Adressen repräsentieren, an LexisNexis übermitteln, damit der Verlag zwischen "on campus" und "off campus" Zugriffen unterscheiden kann – soweit eine IP-Adresse darüber Auskunft erteilen kann.
(So wird das ja auch bei fast allen anderen Anbietern lizensierter e-Resourcen gehandhabt, wie e-Journals oder Datenbanken – dort allerdings zum Zweck des noch einfacheren Zugangs "on campus" gänzlich ohne Anmeldung, nicht zum gänzlichen Aussperren von Teilen der Angehörigen einer Institution!)
Autorisierung und Zugriffsregeln
IP-Adress-unabhängig zugriffsberechtigt sind dem Vernehmen nach alle "MitarbeiterInnen", ausgedrückt über folgende SAML Attribute bzw- Attributwerte:
eduPersonScopedAffiliation: staff@…oder/undfaculty@…oder/undemployee@…
"Studierende" nur vom institutionellen Datennetz aus (an den Verlag gemeldete IP-Adressbereiche, "on-campus"):
eduPersonScopedAffiliation: student@…
Alle anderen Affiliation-Werte sind nicht zugriffsberechtigt.
(Das ACOnet-Team versucht hier nur den österr. Institutionen die erfolgreiche Konfiguration zu erleichtern, macht aber all diese Regeln nicht! Autoritative Aussagen diesbezüglich sind nur vom Anbieter selbst zu erwarten bzw. von jenen, die die Zugriffsbedingungen ausgehandelt haben, ob KEMÖ oder eigene Bibliothek/Rechtsabteilung.)
Beispiel attribute-filter.xml für die Shibboleth IDP-Software
Wer die Attributfreigaberegel für ACOnet-registered Services verwendet, braucht hier keine eigenen Regeln für diesen Verlag anzulegen.
Untenstehendes gilt also nur für jene, die sich nicht an unsere empfohlene Konfiguration halten.
Sofern die benötigten Daten – s.o., pseudonyme Kennung und scoped affiliations – über Konfiguration in /opt/shibboleth-idp/conf/attribute-resolver.xml bereits im IDP verfügbar sind, können sie im attribute-filter.xml nach Bedarf freigegebenen werden.
Unter der benötigten eduPersonScopedAffiliation ist im untenstehenden Beispiel noch das eduPersonTargetedID-Attribut angegeben: Dies wird dann benötigt, wenn man dieses Attribut noch verwendet und auch hier verwenden möchte. Allen Anderen schadet diese Freigaberegel aber nicht – auch dann nicht, wenn man kein solches Attribut konfiguriert hat (dann wird sie einfach ignoriert). Und für SAML 2.0 persistent NameIDs braucht man keine attribute-filter.xml-Konfiguration (dies geschieht über SAML Metadaten und conf/saml-nameid.xml). Daher ist untenstehende Regel für beide vom Verlag aktuell unterstützen pseudonymen Identifier anwendbar:
<AttributeFilterPolicy id="LexisNexis">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https://cdc13-signin.lexisnexis.com/lnaccess/fed/authn" />
<Rule xsi:type="Requester" value="https://signin.lexisnexis.com/lnaccess/fed/authn" />
</PolicyRequirementRule>
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
<AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
</AttributeFilterPolicy>
Overview
Content Tools
Tasks