Hinweise für die Verwendung von SAML zur Anmeldungen bei Academic AI.
entityID
Der global eindeutige Name des SAML Services Providers lautet https://eduid.academic-ai.at/saml/sp
Attribute
Folgende Daten/Attribute werden laut ACOmarket GmbH zum Funktionieren der Anwendung benötigt:
- Eindeutige Kennung (SAML Pairwise-ID oder SAML Subject-ID)
Notfalls auch eduPersonPrincipalName, falls keines der beiden SAML-Standardattribute geliefert werden kann. - Name (givenName, sn, displayName)
- E-Mail-Adresse (mail)
- eduPersonScopedAffiliation, schacHomeOrganization
- eduPersonEntitlement mit dem Wert
https://acomarket.ac.at/academic-ai
- (WORK IN PROGRESS) optional: ein Attribut(-wert) zur Kennzeichnung von Nutzer:innengruppen für Verrechnungszwecke
Entitlement zuweisen
Zugriffsberechtigen Personen muß das oben genannte Entitlement zugewiesen werden.
Siehe dazu unsere Beispiele für die Shibboleth IDP-Konfiguration.
Attributfreigaben
Das Service fällt unter die Service-Kategorie REFEDS Research & Scholarship. Institutionen, deren IDP die Services dieser Kategorie bereits mit automatischer Attributfreigabe unterstützet (siehe R&S
in der Spalte "Kat."), müssten nur das zum Zugriff berechtigende eduPersonEntitlement-Attribut eigens/zusätzlich freigeben – siehe Beispielkonfiguiration für die Shibboleth IDP-Software unten.
Dieser Entitlement-Wert ist auch in der Regel für ACOnet-registered Services enthalten, wer diese bereits verwendet (bzw. die diesbezüglich ergänzte Version aus diesem Wiki in die eigene Konfiguration übernimmt), muß hier keine weitere Freigaberegel spezifisch für dieses Service einrichten.
Hier dennoch ein Beispiele für eine spezifische Freigaberegel für IDPs, die bereits R&S Services unterstützen:
<AttributeFilterPolicy id="AcademicAI"> <PolicyRequirementRule xsi:type="Requester" value="https://eduid.academic-ai.at/saml/sp" /> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="Value" value="https://acomarket.ac.at/academic-ai" /> </AttributeRule> </AttributeFilterPolicy>