Page History
...
Der global eindeutige jeweilige Name der Services lautet
https://
shib.lexisnexis.com/ für das alte, im Sept 2019 abzulösende, Produktivsystem, sowiehttps://cdc13-signin.lexisnexis.com/lnaccess/fed/authn
für für das neue Testsystem, sowiehttps://signin.lexisnexis.com/lnaccess/fed/authn
für für das ab Sept 2019 gültige neue gültige Produktivsystem.
Siehe auch Service Providers für den Servicekatalog aller eduID.at-Services, inkl. ausgewählter technischer Daten.
...
Folgende minimale Daten werden von der Anwendung benötigt:
Info |
---|
Diese für österreichische Institutionen geltenden minimalen Datenanforderungen stellen eine deutliche Verbesserung gegenüber der Praxis etwa in Frankreich dar, wo zahlreiche weitere personenbezogene Daten als "notwendig" angefordert werden. |
- Eine eindeutige pseudonyme Kennung
- SAML 2.0 persistent NameID (wird nebenbei eingerichtet, wenn nach eduID.at-Dokumentation die neuen SAML-Standardattribute
subject-id
undpairwise-id
konfiguriert werden) - oder alternativ: eduPersonTargetedID (nur, wo dies schon von früher eingerichtet wurde; sollte nicht mehr neu hinzugefügt werden)
- SAML 2.0 persistent NameID (wird nebenbei eingerichtet, wenn nach eduID.at-Dokumentation die neuen SAML-Standardattribute
- eduPersonScopedAffiliation zur Autorisierung (siehe unten)
...
...
Diese (nur?) für österreichische Institutionen geltenden minimalen Datenanforderungen stellen eine deutliche Verbesserung gegenüber sowohl der Praxis in Frankreich (wo zahlreiche weitere personenbezogene Daten als "notwendig" angefordert werden) als auch im UK (wo überhaupt keine Angaben zu benötigten oder verwendbaren Daten gemacht werden) dar.
IP-Adressen
Manchen BenutzerInnengruppen wird dem Vernehmen nach (ähnlich RDB) kein Fernzugriff ("off campus") gestattet. Daher müssen Institutionen vermutlich weiterhin jene IP-Adressbereiche, die "on campus"-Adressen repräsentieren, an LexisNexis übermitteln, damit der Verlag zwischen "on campus" und "off campus" Zugriffen unterscheiden kann – soweit – soweit eine IP-Adresse darüber Auskunft erteilen kann.
(So wird das ja auch bei fast allen anderen Anbietern lizensierter e-Resourcen gehandhabt, wie e-Journals oder Datenbanken , – dort allerdings zum Zweck des noch einfacheren Zugangs "on campus" gänzlich ohne Anmeldung, nicht zum gänzlichen Aussperren von Teilen der Mitglieder Angehörigen einer Institution.!)
Autorisierung und Zugriffsregeln
...
Alle anderen Affiliation-Werte sind nicht zugriffsberechtigt.
(Fehler in dieser Dokumentation vorbehaltenDas ACOnet-Team versucht hier nur den österr. Institutionen die erfolgreiche Konfiguration zu erleichtern, macht aber all diese Regeln nicht! Autoritative Aussagen diesbezüglich sind nur vom Anbieter selbst zu erwarten bzw. von jenen, die die Zugriffsbedingungen ausgehandelt haben, ob KEMÖ oder eigene Bibliothek/Rechtsabteilung.)
Beispiel attribute-filter.xml für die Shibboleth IDP
...
-Software
Wer die Attributfreigaberegel für ACOnet-registered Services verwendet, braucht hier keine eigenen Regeln für diesen Verlag anzulegen.
Untenstehendes gilt also nur für jene, die sich nicht an unsere empfohlene Konfiguration halten.
...
Unter der benötigten eduPersonScopedAffiliation
ist im untenstehenden Beispiel noch das eduPersonTargetedID-Attribut angegeben: Dies wird dann benötigt, wenn man dieses Attribut noch verwendet und auch hier verwenden möchte. Allen Anderen schadet diese Freigaberegel aber nicht , – auch dann nicht, wenn man kein solches Attribut konfiguriert hat (dann wird sie einfach ignoriert). Und für SAML 2.0 persistent NameIDs braucht man keine attribute-filter.xml
-Konfiguration (dies geschieht über SAML Metadaten und conf/saml-nameid.xml
). Daher ist untenstehende Regel für beide vom Verlag aktuell unterstützen pseudonymen Identifier anwendbar:
Code Block | ||
---|---|---|
| ||
<AttributeFilterPolicy id="LexisNexis">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https://shib.lexisnexis.com" />
<Rule xsi:type="Requester" value="https://cdc13-signin.lexisnexis.com/lnaccess/fed/authn" />
<Rule xsi:type="Requester" value="https://signin.lexisnexis.com/lnaccess/fed/authn" />
</PolicyRequirementRule>
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
<AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
</AttributeFilterPolicy> |
...