Hinweise für die Verwendung von SAML IDPs zur Anmeldungen bei derr RDB (Rechtsdatenbank) der Manz'schen Verlags- und Universitätsbuchhalndlung GmbH.
Alle Angaben hier sollen den verantwortlichen AdministratorInnen bei der Konfiguration ihres Identity Provider-Systems in eduID.at helfen. Die Zugriffsregeln selbst werden zwischen Manz und der KEMÖ ausgehandelt und hier ledglich ("best effort") dokumentiert.
entityID
Der global eindeutige Name des Services lautet https://cas.manz.at/shibboleth (für das Produktivsystem) sowie https://tst-cas.manz.at/shibboleth (für das Testsystem). Siehe auch Service Providers.
Attribute
Folgende Attribute werden laut Manz zum Funktionieren der Anwendung benötigt:
- Eine eindeutige Kennnung (unique identifier), entweder:
- Persistent NameID bzw. eduPersonTargetedID, oder
- eduPersonPrincipalName, oder
- Matrikelnummer (d.h. schacPersonalUniqueCode-Attribut nach angegebenem Schema), oder
- mail (E-Mail-Adresse)
- eduPersonScopedAffiliation zur Autorisierung laut Vertrag (siehe unten)
- Optional: eduPersonEntitlement mit dem Wert
https://rdb.manz.at/student/remote-accessnur bei Institutionen, die Sonderregelungen mit Manz betreffend Fernstudierende o.ä. getroffen haben.
In Arbeit!
Die obigen Angaben entsprechen den bisher kooperativ mit Manz vereinbarten SAML-Attributen (siehe auch eduID.at MDRPS, Punkt 5.4). Die RDB-Anwendung selbst verlangt nach Anmeldung über SAML ggfs. noch eine "Vervollständigung" der Daten, mit u.a. Vorname, Zuname und E-Mail-Adresse als Pflichtangaben. Entweder die obigen Attribut-Anforderungen oder die verpflichtende Vervollständigung der Daten in der Applikation müsste bezüglich dieser Daten also noch geändert werden.
Autorisierung und Zugriffsregeln
IP-Adress-unabhängig zugriffsberechtigt sind alle "MitarbeiterInnen":
eduPersonScopedAffiliation: staff@…oder/undfaculty@…oder/undemployee@…
Nur vom institutionellen Datennetz (an Manz gemeldete IP-Adressbereiche) aus, "Studierende":
eduPersonScopedAffiliation: student@…
Bei Institutionen, die mit Manz entsprechende Ausnahmeregelungen vereinbart haben (z.B. für Fernstudierende, die selten am Campus sind), sind RDB-Zugriffe auch IP-Adress-unabhängig möglich, sofern das hier dokumentierte Entitlement geschickt – und von Manz der Vereinbarung entsprechend akzeptiert – wird.
eduPersonScopedAffiliation: student@…eduPersonEntitlement: https://rdb.manz.at/student/remote-access
Alle anderen Affiliation- oder Entitlement-Werte (oder Kombinationen derselben) sind nicht zugriffsberechtigt. (Fehler in dieser Dokumentation vorbhalten.)
Überblick
Inhalte
Aufgabenbericht