Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 12 Nächste Version anzeigen »

Hinweise für die Verwendung von SAML zur Anmeldungen bei der RDB (Rechtsdatenbank) der Manz'schen Verlags- und Universitätsbuchhalndlung GmbH.

Manz ist ACOnet Identity Federation member

Die Service Provider für die RDB sind Teil der eduID.at SAML Metadaten. Für eduID.at Identity Providers muß daher diesbezüglich nichts weiter unternommen werden (d.h. es ist keine manuelle Ergänzung von SAML Metadaten nötig). Nur Attribut-Freigaben müssen erfolgen, s.u.

Alle Angaben hier sollen den verantwortlichen AdministratorInnen bei der Konfiguration ihres Identity Provider-Systems helfen. Die RDB-Zugriffsregeln selbst werden zwischen Manz und der KEMÖ (bzw. anderen Vertragsteilnehmerinnen) ausgehandelt und hier lediglich dokumentiert ("best effort"), der Hoffnung, damit einheitliche Konfiguration und Prozesse zu unterstützen.

entityID

Der global eindeutige Name des Services lautet

  • https://cas.manz.at/shibboleth (für das Produktivsystem), sowie
  • https://tst-cas.manz.at/shibboleth (für das Testsystem).

Siehe auch Service Providers für den Servicekatalog aller eduID.at-Services, inkl. technischer Daten.

Attribute

Folgende Attribute werden laut Manz zum Funktionieren der Anwendung benötigt:

  • Optional: eduPersonEntitlement mit dem Wert https://rdb.manz.at/student/remote-access nur bei Institutionen, die Sonderregelungen mit Manz betreffend Fernstudierende o.ä. getroffen haben.

In Arbeit!

Die obigen Angaben entsprechen den bisher kooperativ mit Manz vereinbarten SAML-Attributen (siehe auch eduID.at MDRPS, Punkt 5.4). Die RDB-Anwendung selbst verlangt nach Anmeldung über SAML ggfs. noch eine "Vervollständigung" der Daten, mit u.a. Vorname, Zuname und E-Mail-Adresse als Pflichtangaben. Entweder die obigen Attribut-Anforderungen oder die verpflichtende Vervollständigung der Daten in der Applikation müsste bezüglich dieser Daten also noch geändert werden.

Autorisierung und Zugriffsregeln

IP-Adress-unabhängig zugriffsberechtigt sind alle "MitarbeiterInnen":

  • eduPersonScopedAffiliation: staff@… oder/und faculty@… oder/und employee@…

Nur vom institutionellen Datennetz (an Manz gemeldete IP-Adressbereiche) aus, "Studierende":

  • eduPersonScopedAffiliation: student@…

Bei Institutionen, die mit Manz entsprechende Ausnahmeregelungen vereinbart haben (z.B. für Fernstudierende, die selten am Campus sind), sind RDB-Zugriffe auch IP-Adress-unabhängig möglich, sofern das hier dokumentierte Entitlement geschickt – und von Manz der Vereinbarung entsprechend akzeptiert – wird.

  • eduPersonScopedAffiliation: student@…
  • eduPersonEntitlement: https://rdb.manz.at/student/remote-access

Alle anderen Affiliation- oder Entitlement-Werte (oder Kombinationen derselben) sind nicht zugriffsberechtigt. (Fehler in dieser Dokumentation vorbhalten.)

  • Keine Stichwörter