Versions Compared

Old Version 4

changes.mady.by.user Peter Brand

Saved on

compared with

New Version Current

changes.mady.by.user Peter Brand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: update docs to IDPv4

Hinweise und Konfigurationsdetails eines Shibboleth 2.4.x IDPs für Anmeldungen zu Kursen des USI Wien.

Alle Angaben hier sollen den verantwortlichen AdministratorInnen bei der Konfiguration von Identity Provider-Systemen in eduID.at helfen. Die Regeln und Tarife für Kursanmeldungen beim USI Wien macht allein das USI Wien!

EntityID

Der global eindeutige Name des Services lautet: https://www.usi-wien.at/shibboleth

...

  • Vorname und Zuname (Namentliche Anmeldung zu Kursen)
  • Institutionelle Zugehörigkeit (eduPersonAffiliation): Studierende/MitarbeiterIn/etc. (für Tarifgestaltung relevant)
  • Emailadresse (Verknüpfung mit Bestandsdaten, Kommunikation)
  • Einen persistenten Pseudonymen Identifier (siehe  eduPersonTargetedID bzw. IDP2 Debian7 PersistentIDs).
  • Ein Attribut (eduPersonEntitlement), dessen Wert bei Studierenden (bei Vorhandensein des Attributs) besagt, daß sie das Alter von 25 Jahren noch nicht erreicht haben. Personen, die dieses Entitlement vorweisen, kommen in den Genuß der vergünstigten USI-Tarife für Studierende. Diese Information im SAML IdP IDP "auszurechnen" umgeht die Notwendigkeit einer Übertragung des Alters oder Geburtsdatums der Person vom IdP IDP zum SP. (Seltene) Änderungen der Altersgrenze sind vorbehalten und müssten jedenfalls zeitgerecht von den BetreinerInnen BetreiberInnen des Services kommuniziert werden.
Info
iconfalse

Es gibt eine komplette Anleitung zum Erzeugen des Entitlements für den Shibboleth IDP 2.4.

Kein Entitlement?

Fehlt dieses Entitlement, gibt es immer noch folgende Interpretations- und Handlungsmöglichkeiten:

  1. Die Person ist MitarbeiterIn/Alumnus/Alumnæ und bucht Kurse zum sog. AkademikerInnentarif.
  2. Die Person ist Studierende und überschreitet das vom USI Wien festgesetzte Alterslimit. Damit kommt ebenfalls der sog. AkademikerInnentarif zur Anwendung.
  3. Die Person ist Studierende, überschreitet nicht das Alterslimit, es fehlt dennoch das Entitlement (etwa durch fehlende/unzureichende Konfiguration des SAML IDPs). Der/die zugreifende Studierende hat nun folgende Optionen:
    1. Sofern die Person schon früher Kurse am UNI Wien belegt hat, damit somit das Alter bekannt ist und die Person in den Bestandsdaten eindeutig identifiziert werden kann, kann dennoch der vergünstigte Studierendentarif in Anspruch genommen werden.
    2. Hochladen einer elektronischen Kopie eines offiziellen Dokuments, welches das Nichtüberschreiten der Altersgrenze belegt
    3. Verzicht auf die Online-Kursanmeldung, stattdessen persönliche Anmeldung an einem USI Wien-Schalter mit amtlichem Lichtbildausweis (und ggfs langen Warteschlangen)
    4. freiwillige Entrichtung des sog. AkademikerInnentarifs ("last resort")

Aus Variante 3.b. (Hochladen einer Ausweiskopie über das USI Wien-Webinterface) folgt, daß Studierende auch dann online und zum vergünstigten Tarif Kurse buchen können, wenn der institutionelle SAML IDP nicht das gewünschte eduPersonEntitlement-Attribut (mit passendem Wert) schickt. Allerdings mit dem Mehraufwand, eine elektronische Kopie eines geeineten Ausweises hochladen und auf die Überpruüfung derselben durch Mehraufwand für die Studierenden und das Personal des USI Wien warten zu müssen(zur Überprüfung der Dokumente), was längere Wartezeiten bedeutet.