Versionen im Vergleich

Alte Version 12

changes.mady.by.user Peter Brand

Gespeichert am

verglichen mit

Neue Version 13

changes.mady.by.user Peter Brand

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Info
iconfalse
titleManz ist ACOnet Identity Federation member

Die Die beiden RDB-Service Provider für die RDB sind Teil der eduID.at SAML Metadaten. Für eduID.at Identity Providers muß daher diesbezüglich nichts weiter unternommen werden (d.h. es ist keine manuelle Ergänzung von SAML Metadaten nötig). Nur Attribut-Freigaben für Berechtigte müssen erfolgen, s.u.

Alle Angaben hier sollen den verantwortlichen AdministratorInnen technischen Verantwortlichen bei der Konfiguration ihres Identity Provider-Systems helfen. Die RDB-Zugriffsregeln selbst werden zwischen Manz und der KEMÖ (bzw. anderen Vertragsteilnehmerinnen) ausgehandelt und hier lediglich dokumentiert ("best effort"), in der Hoffnung, damit einheitliche Konfiguration und Prozesse zu unterstützen und damit den Aufwand für alle Beteiligten zu reduzieren.

entityID

Der global eindeutige Name des Services lautet

...

Hinweis
titleIn Arbeit!

Die obigen Angaben entsprechen den bisher kooperativ mit Manz vereinbarten SAML-Attributen (siehe auch eduID.at MDRPS, Punkt 5.4). Die Nach einer erfolgreichen SAML-Anmeldung verlangt die RDB-Anwendung selbst verlangt nach Anmeldung über SAML ggfs. noch eine "Vervollständigung" der Daten, mit u.a. Vorname, Zuname und E-Mail-Adresse als Pflichtangaben.
Entweder die obigen Attribut-Anforderungen obige Liste der benötigten Attribute oder die verpflichtende Vervollständigung der Daten in der Applikation müsste bezüglich dieser Daten diesbezüglich also noch geändert werden.

IP-Adressen

Manchen BenutzerInnengruppen wird laut RDB-Vertrag kein Fernzugriff gestattet. Daher müssen Institutionen nun jene IP-Adressbereiche, die "on campus"-Adressen repräsentieren, an Manz übermitteln, damit Manz zwischen "on campus" und "off campus" unterscheiden kann. (Wie das auch bei fast allen anderen Anbietern lizensierter Resourcen, wie e-Journals oder Datenbanken, der Fall ist.)
Solange für eine Institution keine solchen Adressen bei Manz vorliegen, werden potentiell alle RDB-Zugriffe scheitern!

Autorisierung und Zugriffsregeln

IP-Adress-unabhängig zugriffsberechtigt sind alle "MitarbeiterInnen", ausgedrückt über folgende SAML Attribute bzw- Attributwerte:

  • eduPersonScopedAffiliation: staff@… oder/und faculty@… oder/und employee@…

...

Bei Institutionen, die mit Manz entsprechende Ausnahmeregelungen vereinbart haben (z.B. für Fernstudierende, die sich nicht/selten am Campus sindaufhalten), sind RDB-Zugriffe auch IP-Adress-unabhängig möglich, sofern das hier dokumentierte Entitlement geschickt – und von Manz der Vereinbarung entsprechend akzeptiert – wird.wird:

  • eduPersonScopedAffiliation: student@…
  • eduPersonEntitlement: https://rdb.manz.at/student/remote-access

...