LexisNexis

Hinweise für die Verwendung von SAML zur Anmeldungen bei "LexisNexis 360" der LexisNexis Verlag ARD Orac GmbH & Co KG (im Folgenden "der Verlag" genannt).

Der global eindeutige jeweilige Name der Services lautet

• https://shib.lexisnexis.com/ für das alte, im Sept 2019 abzulösende, Produktivsystem, sowie
• https://cdc13-signin.lexisnexis.com/lnaccess/fed/authn für das neue Testsystem, sowie
  
• https://signin.lexisnexis.com/lnaccess/fed/authn für das ab Sept 2019 gültige neue Produktivsystem.

Siehe auch Service Providers für den Servicekatalog aller eduID.at-Services, inkl. ausgewählter technischer Daten.

Attribute

Folgende minimale Daten werden von der Anwendung benötigt:

• Eine eindeutige pseudonyme Kennung
  • SAML 2.0 persistent NameID (wird nebenbei eingerichtet, wenn nach eduID.at-Dokumentation die neuen SAML-Standardattribute subject-id und pairwise-id konfiguriert werden)
  • oder alternativ: eduPersonTargetedID (nur wo dies schon von früher eingerichtet wurde; sollte nicht mehr neu hinzugefügt werden)
• eduPersonScopedAffiliation zur Autorisierung (siehe unten)

IP-Adressen

Manchen BenutzerInnengruppen wird dem Vernehmen nach (ähnlich RDB) kein Fernzugriff ("off campus") gestattet. Daher müssen Institutionen vermutlich weiterhin jene IP-Adressbereiche, die "on campus"-Adressen repräsentieren, an LexisNexis übermitteln, damit der Verlag zwischen "on campus" und "off campus" Zugriffen unterscheiden kann – soweit eine IP-Adresse darüber Auskunft erteilen kann. (So wird das ja auch bei fast allen anderen Anbietern lizensierter e-Resourcen gehandhabt, wie e-Journals oder Datenbanken, dort allerdings zum Zweck des noch einfacheren Zugangs "on campus" gänzlich ohne Anmeldung, nicht zum gänzlichen Aussperren von Teilen der Mitglieder einer Institution.)

Autorisierung und Zugriffsregeln

IP-Adress-unabhängig zugriffsberechtigt sind dem Vernehmen nach alle "MitarbeiterInnen", ausgedrückt über folgende SAML Attribute bzw- Attributwerte:

• eduPersonScopedAffiliation: staff@… oder/und faculty@… oder/und employee@…


"Studierende" nur vom institutionellen Datennetz aus (an den Verlag gemeldete IP-Adressbereiche, "on-campus"):

• eduPersonScopedAffiliation: student@…

Alle anderen Affiliation-Werte sind nicht zugriffsberechtigt.

(Fehler in dieser Dokumentation vorbehalten.)

Beispiel attribute-filter.xml für die Shibboleth IDP v3 Software

Wer die Attributfreigaberegel für ACOnet-registered Services verwendet, braucht hier keine eigenen Regeln für diesen Verlag anzulegen. Untenstehendes gilt also nur für jene, die sich nicht an unsere empfohlene Konfiguration halten.

Sofern die benötigten Daten – s.o., pseudonyme Kennung und scoped affiliations – über Konfiguration in /opt/shibboleth-idp/conf/attribute-resolver.xml bereits im IDP verfügbar sind, können sie im attribute-filter.xml nach Bedarf freigegebenen werden.

Unter der benötigten eduPersonScopedAffiliation ist im untenstehenden Beispiel noch das eduPersonTargetedID-Attribut angegeben: Dies wird dann benötigt, wenn man dieses Attribut noch verwendet und auch hier verwenden möchte. Allen Anderen schadet diese Freigaberegel aber nicht, auch dann nicht, wenn man kein solches Attribut konfiguriert hat (dann wird sie einfach ignoriert). Und für SAML 2.0 persistent NameIDs braucht man keine attribute-filter.xml-Konfiguration (dies geschieht über SAML Metadaten und conf/saml-nameid.xml). Daher ist untenstehende Regel für beide vom Verlag aktuell unterstützen pseudonymen Identifier anwendbar:

<AttributeFilterPolicy id="LexisNexis">
    <PolicyRequirementRule xsi:type="OR">
        <Rule xsi:type="Requester" value="https://shib.lexisnexis.com" />
        <Rule xsi:type="Requester" value="https://cdc13-signin.lexisnexis.com/lnaccess/fed/authn" />
        <Rule xsi:type="Requester" value="https://signin.lexisnexis.com/lnaccess/fed/authn" />
    </PolicyRequirementRule>
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
    <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
</AttributeFilterPolicy>