Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 16 Nächste Version anzeigen »

Hinweise für die Verwendung von SAML zur Anmeldungen bei der RDB (Rechtsdatenbank) der Manz'schen Verlags- und Universitätsbuchhalndlung GmbH.

Manz ist ACOnet Identity Federation member

Die beiden RDB-Service Provider sind Teil der eduID.at SAML Metadaten. Für eduID.at Identity Providers muß daher diesbezüglich nichts weiter unternommen werden (d.h. es ist keine manuelle Ergänzung von SAML Metadaten nötig). Nur Attribut-Freigaben für Berechtigte müssen erfolgen, s.u.

Alle Angaben hier sollen den jeweiligen technischen Verantwortlichen bei der Konfiguration ihres Identity Provider-Systems helfen. Die RDB-Zugriffsregeln selbst werden zwischen Manz und der KEMÖ (bzw. anderen Vertragsteilnehmerinnen) ausgehandelt und hier lediglich dokumentiert ("best effort"), in der Hoffnung, damit einheitliche Konfiguration und Prozesse zu unterstützen und damit den Aufwand für alle Beteiligten zu reduzieren.

entityID

Der global eindeutige Name des Services lautet

  • https://cas.manz.at/shibboleth (für das Produktivsystem), sowie
  • https://tst-cas.manz.at/shibboleth (für das Testsystem).

Siehe auch Service Providers für den Servicekatalog aller eduID.at-Services, inkl. technischer Daten.

Attribute

Folgende Attribute werden laut Manz zum Funktionieren der Anwendung benötigt:

In Arbeit!

Die obigen Angaben entsprechen den bisher kooperativ mit Manz vereinbarten SAML-Attributen (siehe auch eduID.at MDRPS, Punkt 5.4). Nach einer erfolgreichen SAML-Anmeldung verlangt die RDB-Anwendung selbst ggfs. noch eine "Vervollständigung" der Daten, mit u.a. Vorname, Zuname und E-Mail-Adresse als Pflichtangaben.
Entweder die obige Liste der benötigten Attribute oder die verpflichtende Vervollständigung der Daten in der Applikation müsste diesbezüglich also noch geändert werden.

IP-Adressen

Manchen BenutzerInnengruppen wird laut RDB-Vertrag kein Fernzugriff gestattet. Daher müssen Institutionen nun jene IP-Adressbereiche, die "on campus"-Adressen repräsentieren, an Manz übermitteln, damit Manz zwischen "on campus" und "off campus" unterscheiden kann. (Wie das auch bei fast allen anderen Anbietern lizensierter Resourcen, wie e-Journals oder Datenbanken, der Fall ist.)
Solange für eine Institution keine solchen Adressen bei Manz vorliegen, werden potentiell alle RDB-Zugriffe scheitern!

Autorisierung und Zugriffsregeln

IP-Adress-unabhängig zugriffsberechtigt sind alle "MitarbeiterInnen", ausgedrückt über folgende SAML Attribute bzw- Attributwerte:

  • eduPersonScopedAffiliation: staff@… oder/und faculty@… oder/und employee@…

Nur vom institutionellen Datennetz (an Manz gemeldete IP-Adressbereiche) aus, "Studierende":

  • eduPersonScopedAffiliation: student@…

Bei Institutionen, die mit Manz entsprechende Ausnahmeregelungen vereinbart haben (z.B. für Fernstudierende, die sich nicht/selten am Campus aufhalten), sind RDB-Zugriffe auch IP-Adress-unabhängig möglich, sofern das hier dokumentierte Entitlement geschickt wird:

  • eduPersonScopedAffiliation: student@…
  • eduPersonEntitlement: https://rdb.manz.at/student/remote-access

Alle anderen Affiliation- oder Entitlement-Werte (oder Kombinationen derselben) sind nicht zugriffsberechtigt. (Fehler in dieser Dokumentation vorbhalten.)

Beispiel attribute-filter.xml für die Shibboleth IDP Software

Sofern die entsprechenden Daten (über Konfiguration in /opt/shibboleth-idp/conf/attribute-resolver.xml) bereits prinzipiell im IDP verfügbar sind, können sie im attribute-filter.xml nach Bedarf freigegebenen werden.

Unter der benötigten eduPersonScopedAffiliation ist im untenstehenden Beispiel noch eine eindeutige Kennung zu konfigurieren, etwa durch Auskommentieren der gewünschten AttributeRule: Bei Verfügbarkeit empfiehlt sich eine persistentId bzw. eduPersonTargetedID (siehe unsere Shibboleth IDP Anleitung), anderenfalls evtl. ein eduPersonPrincipalName-Attribut. Ist beides im eigenen IDP nicht vorhanden – was nicht gut wäre, da möglichst alle eduID.at IDPs diese liefern können sollten – könnte für Studierende auf die Matrikelnummer als speziell konstruiertes SAML-Attribut zurückgegriffen werden, wobei dann evtl zusätzlich noch ein anderes Attribut für MitarbeiterInnen freigegegben werden müsste (die evtl ihrem Mitarbeiterkonto keine Matrikelnummer zugeordnet haben werden). Ist das alles nicht vorhanden, kann evtl die E-Mail-Adresse als Kennung "missbraucht" werden, die in allen IDPs vorhanden sein sollte.

Das ganz unten erwähnte eduPersonEntitlement sollte nur von Institutionen verwendet werden, die mit Manz entsprechende Ausnameregeln vereinbart haben.

<afp:AttributeFilterPolicy id="RDB-Manz">
    <afp:PolicyRequirementRule xsi:type="basic:OR">
        <basic:Rule xsi:type="basic:AttributeRequesterString" value="https://cas.manz.at/shibboleth" />
        <basic:Rule xsi:type="basic:AttributeRequesterString" value="https://tst-cas.manz.at/shibboleth" />
    </afp:PolicyRequirementRule>
 
    <!-- nur jene affiliation-werte weitergeben, die autorisierte personengruppen indentizieren -->
    <afp:AttributeRule attributeID="eduPersonScopedAffiliation">
        <afp:PermitValueRule xsi:type="basic:OR">
            <basic:Rule xsi:type="basic:AttributeValueString" value="faculty" ignoreCase="true" />
            <basic:Rule xsi:type="basic:AttributeValueString" value="student" ignoreCase="true" />
            <basic:Rule xsi:type="basic:AttributeValueString" value="staff" ignoreCase="true" />
            <basic:Rule xsi:type="basic:AttributeValueString" value="employee" ignoreCase="true" />
        </afp:PermitValueRule>
    </afp:AttributeRule>
 
    <!-- eindeutige kennung freigeben, nach lokaler praeferenz/verfuegbarkeit -->
    <!--
    <afp:AttributeRule attributeID="persistentId">
        <afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="eduPersonTargetedID">
        <afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="eduPersonPrincipalName">
        <afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="matrikel">
        <afp:PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:schac:personalUniqueCode:int:studentID:AT:[0-9]{7}$" />
    </afp:AttributeRule>
    <afp:AttributeRule attributeID="email">
        <afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
    </afp:AttributeRule>
    -->
 
    <!-- NUR fuer institutionen mit zusatzvereinbarungen mit Manz bezueglich studentischen RDB-fernzugriffen (z.B. Linzer Rechtsstudien) -->
    <!--
    <afp:AttributeRule attributeID="eduPersonEntitlement">
        <afp:PermitValueRule xsi:type="basic:AttributeValueString" value="https://rdb.manz.at/student/remote-access" />
    </afp:AttributeRule>
    -->
</afp:AttributeFilterPolicy>
  • Keine Stichwörter