Quelle anzeigen

Hinweise für die Verwendung von SAML IDPs zur Anmeldungen bei derr RDB (Rechtsdatenbank) der Manz'schen Verlags- und Universitätsbuchhalndlung GmbH.

Alle Angaben hier sollen den verantwortlichen AdministratorInnen bei der Konfiguration ihres Identity Provider-Systems in eduID.at helfen. Die Zugriffsregeln selbst werden zwischen Manz und der KEMÖ ausgehandelt und hier ledglich ("best effort") dokumentiert.

entityID

Der global eindeutige Name des Services lautet https://cas.manz.at/shibboleth (für das Produktivsystem) sowie https://tst-cas.manz.at/shibboleth (für das Testsystem). Siehe auch Service Providers.

Attribute

Folgende Attribute werden laut Manz zum Funktionieren der Anwendung benötigt:

Eine eindeutige Kennnung (unique identifier), entweder:
- Persistent NameID bzw. eduPersonTargetedID, oder
- eduPersonPrincipalName, oder
- Matrikelnummer (d.h. schacPersonalUniqueCode-Attribut nach angegebenem Schema), oder
- mail (E-Mail-Adresse)
eduPersonScopedAffiliation zur Autorisierung laut Vertrag (siehe unten)

Optional: eduPersonEntitlement mit dem Wert https://rdb.manz.at/student/remote-access nur bei Institutionen, die Sonderregelungen mit Manz betreffend Fernstudierende o.ä. getroffen haben.

Die obigen Angaben entsprechen den bisher kooperativ mit Manz vereinbarten SAML-Attributen (siehe auch eduID.at MDRPS, Punkt 5.4). Die RDB-Anwendung selbst verlangt nach Anmeldung über SAML ggfs. noch eine "Vervollständigung" der Daten, mit u.a. Vorname, Zuname und E-Mail-Adresse als Pflichtangaben. Entweder die obigen Attribut-Anforderungen oder die verpflichtende Vervollständigung der Daten in der Applikation müsste bezüglich dieser Daten also noch geändert werden.

Autorisierung und Zugriffsregeln

IP-Adress-unabhängig zugriffsberechtigt sind alle "MitarbeiterInnen":

eduPersonScopedAffiliation: staff@… oder/und faculty@… oder/und employee@…

Nur vom institutionellen Datennetz (an Manz gemeldete IP-Adressbereiche) aus, "Studierende":

eduPersonScopedAffiliation: student@…

Bei Institutionen, die mit Manz entsprechende Ausnahmeregelungen vereinbart haben (z.B. für Fernstudierende, die selten am Campus sind), sind RDB-Zugriffe auch IP-Adress-unabhängig möglich, sofern das hier dokumentierte Entitlement geschickt – und von Manz der Vereinbarung entsprechend akzeptiert – wird.

eduPersonScopedAffiliation: student@…
eduPersonEntitlement: https://rdb.manz.at/student/remote-access

Alle anderen Affiliation- oder Entitlement-Werte (oder Kombinationen derselben) sind nicht zugriffsberechtigt. (Fehler in dieser Dokumentation vorbhalten.)