Hinweise für die Verwendung von SAML zur Anmeldungen bei der RDB (Rechtsdatenbank) der Manz'schen Verlags- und Universitätsbuchhalndlung GmbH.
Alle Angaben hier sollen den technischen Verantwortlichen bei der Konfiguration ihres Identity Provider-Systems helfen. Die RDB-Zugriffsregeln selbst werden zwischen Manz und der KEMÖ (bzw. anderen Vertragsteilnehmerinnen) ausgehandelt und hier lediglich dokumentiert ("best effort"), in der Hoffnung, damit einheitliche Konfiguration und Prozesse zu unterstützen und damit den Aufwand für alle Beteiligten zu reduzieren.
entityID
Der global eindeutige Name des Services lautet
https://cas.manz.at/shibboleth(für das Produktivsystem), sowiehttps://tst-cas.manz.at/shibboleth(für das Testsystem).
Siehe auch Service Providers für den Servicekatalog aller eduID.at-Services, inkl. technischer Daten.
Attribute
Folgende Attribute werden laut Manz zum Funktionieren der Anwendung benötigt:
- Eine eindeutige Kennnung (unique identifier), entweder:
- Persistent NameID bzw. eduPersonTargetedID, oder
- eduPersonPrincipalName, oder
- Matrikelnummer (d.h. schacPersonalUniqueCode-Attribut nach angegebenem Schema), oder
- mail (E-Mail-Adresse)
- eduPersonScopedAffiliation zur Autorisierung laut Vertrag (siehe unten)
- Optional: eduPersonEntitlement mit dem Wert https://rdb.manz.at/student/remote-access
nur bei Institutionen, die Sonderregelungen mit Manz betreffend Fernstudierenden o.ä. getroffen haben!
In Arbeit!
Die obigen Angaben entsprechen den bisher kooperativ mit Manz vereinbarten SAML-Attributen (siehe auch eduID.at MDRPS, Punkt 5.4). Nach einer erfolgreichen SAML-Anmeldung verlangt die RDB-Anwendung selbst ggfs. noch eine "Vervollständigung" der Daten, mit u.a. Vorname, Zuname und E-Mail-Adresse als Pflichtangaben.
Entweder die obige Liste der benötigten Attribute oder die verpflichtende Vervollständigung der Daten in der Applikation müsste diesbezüglich also noch geändert werden.
IP-Adressen
Manchen BenutzerInnengruppen wird laut RDB-Vertrag kein Fernzugriff gestattet. Daher müssen Institutionen nun jene IP-Adressbereiche, die "on campus"-Adressen repräsentieren, an Manz übermitteln, damit Manz zwischen "on campus" und "off campus" unterscheiden kann. (Wie das auch bei fast allen anderen Anbietern lizensierter Resourcen, wie e-Journals oder Datenbanken, der Fall ist.)
Solange für eine Institution keine solchen Adressen bei Manz vorliegen, werden potentiell alle RDB-Zugriffe scheitern!
Autorisierung und Zugriffsregeln
IP-Adress-unabhängig zugriffsberechtigt sind alle "MitarbeiterInnen", ausgedrückt über folgende SAML Attribute bzw- Attributwerte:
eduPersonScopedAffiliation: staff@…oder/undfaculty@…oder/undemployee@…
Nur vom institutionellen Datennetz (an Manz gemeldete IP-Adressbereiche) aus, "Studierende":
eduPersonScopedAffiliation: student@…
Bei Institutionen, die mit Manz entsprechende Ausnahmeregelungen vereinbart haben (z.B. für Fernstudierende, die sich nicht/selten am Campus aufhalten), sind RDB-Zugriffe auch IP-Adress-unabhängig möglich, sofern das hier dokumentierte Entitlement geschickt wird:
eduPersonScopedAffiliation: student@…eduPersonEntitlement: https://rdb.manz.at/student/remote-access
Alle anderen Affiliation- oder Entitlement-Werte (oder Kombinationen derselben) sind nicht zugriffsberechtigt. (Fehler in dieser Dokumentation vorbhalten.)
Überblick
Inhalte
Aufgabenbericht