Hinweise für die Verwendung von SAML zur Anmeldungen bei "LexisNexis 360" der LexisNexis Verlag ARD Orac GmbH & Co KG (im Folgenden "der Verlag" genannt).

Der global eindeutige jeweilige Name der Services lautet

Siehe auch Service Providers für den Servicekatalog aller eduID.at-Services, inkl. ausgewählter technischer Daten.

Attribute

Folgende minimale Daten werden von der Anwendung benötigt:

Diese (nur?) für österreichische Institutionen geltenden minimalen Datenanforderungen stellen eine deutliche Verbesserung gegenüber sowohl der Praxis in Frankreich (wo zahlreiche weitere personenbezogene Daten als "notwendig" angefordert werden) als auch im UK (wo überhaupt keine Angaben zu benötigten oder verwendbaren Daten gemacht werden) dar.

IP-Adressen

Manchen BenutzerInnengruppen wird dem Vernehmen nach (ähnlich RDB) kein Fernzugriff ("off campus") gestattet. Daher müssen Institutionen vermutlich weiterhin jene IP-Adressbereiche, die "on campus"-Adressen repräsentieren, an LexisNexis übermitteln, damit der Verlag zwischen "on campus" und "off campus" Zugriffen unterscheiden kann – soweit eine IP-Adresse darüber Auskunft erteilen kann. (So wird das ja auch bei fast allen anderen Anbietern lizensierter e-Resourcen gehandhabt, wie e-Journals oder Datenbanken, dort allerdings zum Zweck des noch einfacheren Zugangs "on campus" gänzlich ohne Anmeldung, nicht zum gänzlichen Aussperren von Teilen der Mitglieder einer Institution.)

Autorisierung und Zugriffsregeln

IP-Adress-unabhängig zugriffsberechtigt sind dem Vernehmen nach alle "MitarbeiterInnen", ausgedrückt über folgende SAML Attribute bzw- Attributwerte:

"Studierende" nur vom institutionellen Datennetz aus (an den Verlag gemeldete IP-Adressbereiche, "on-campus"):

Alle anderen Affiliation-Werte sind nicht zugriffsberechtigt.

(Fehler in dieser Dokumentation vorbehalten.)

Beispiel attribute-filter.xml für die Shibboleth IDP v3 Software

Wer die Attributfreigaberegel für ACOnet-registered Services verwendet, braucht hier keine eigenen Regeln für diesen Verlag anzulegen. Untenstehendes gilt also nur für jene, die sich nicht an unsere empfohlene Konfiguration halten.

Sofern die benötigten Daten – s.o., pseudonyme Kennung und scoped affiliations – über Konfiguration in /opt/shibboleth-idp/conf/attribute-resolver.xml bereits im IDP verfügbar sind, können sie im attribute-filter.xml nach Bedarf freigegebenen werden.

Unter der benötigten eduPersonScopedAffiliation ist im untenstehenden Beispiel noch das eduPersonTargetedID-Attribut angegeben: Dies wird dann benötigt, wenn man dieses Attribut noch verwendet und auch hier verwenden möchte. Allen Anderen schadet diese Freigaberegel aber nicht, auch dann nicht, wenn man kein solches Attribut konfiguriert hat (dann wird sie einfach ignoriert). Und für SAML 2.0 persistent NameIDs braucht man keine attribute-filter.xml-Konfiguration, dies geschieht automatisch über SAML Metadaten. Daher ist untenstehende Regel für beide vom Verlag aktuell unterstützen pseudonymen Identifier anwendbar:

<AttributeFilterPolicy id="LexisNexis">
    <PolicyRequirementRule xsi:type="OR">
        <Rule xsi:type="Requester" value="https://shib.lexisnexis.com" />
        <Rule xsi:type="Requester" value="https://cdc13-signin.lexisnexis.com/lnaccess/fed/authn" />
        <Rule xsi:type="Requester" value="https://signin.lexisnexis.com/lnaccess/fed/authn" />
    </PolicyRequirementRule>

    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
    <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
</AttributeFilterPolicy>