====== Attributfreigaben für Verlagsanbieter ======
(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]])
Viele kommerzielle Verlagsanbieter bieten inzwischen eine Anmeldung über SAML an, also über die DFN-AAI oder eduGAIN. Sie haben sich dazu auf **einheitliche Attributanforderungen** geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle großen Verlagsanbieter auf einmal abdecken können. Die Voraussetzung dafür ist meist ein Lizenzvertrag zwischen Ihrer Hochschule bzw. Bibliothek und dem Anbieter.
Dennoch sollten Sie die Anbieter einzeln darüber zu informieren, dass Sie den SAML-basierten Zugriff nutzen wollen. Bei manchen kann man dies online aktivieren, bei anderen wenden Sie sich bitte an die Kontaktperson des Verlags.
Die Verlage erwarten im Normalfall eines von zwei Attributen:
* Zugehörigkeit des Users: ''eduPersonScopedAffiliation'' mit dem Wert "member@SCOPE"
* Berechtigung des Users: ''eduPersonEntitlement'' mit dem Wert "urn:mace:dir:common-lib-terms"
Ihr Lizenzvertrag oder ggf. das Landeshochschulgesetz Ihres Bundeslandes geben Auskunft darüber, welche Gruppen welche Berechtigungen bekommen.
Eine Orientierung für die Attributfreigaben bietet auch die Gruppe FIM4L (Federated Identity Management For Libraries) https://www.fim4l.org/ mit ihren Principles and Recommendation.
===== Beispiel =====
Wir zeigen im Folgenden eine Beispielkonfiguration, die **im IdM vorhandene Gruppen** nutzt, um diese beiden Attribute IdP-seitig zu befüllen und freizugeben. Im Beispiel gibt es folgende Gruppen:
^ Gruppe ^ memberOf ^
| Angestellte | cn=angestellte,ou=users,dc=beispiel-uni,dc=de |
| Studierende A | cn=studiengang A,ou=users,dc=beispiel-uni,dc=de |
| Studierende B | cn=studiengang B,ou=users,dc=beispiel-uni,dc=de |
| Professor*innen | cn=profs,ou=users,dc=beispiel-uni,dc=de |
| Gäste | cn=gaeste,ou=users,dc=beispiel-uni,dc=de |
Es soll erreicht werden, dass die ersten vier Gruppen als Angehörige der Einrichtung die Verlagsressourcen nutzen dürfen, Gäste dagegen nicht.
==== Attributdefinition im upgegradeten IdP 4.x ====
In aktualisierten IdP 4.x mit der alten Syntax/ohne die Attribute Registry machen Sie es so:
Affiliation type
Zugehörigkeit
Type of affiliation with Home Organization
Art der Zugehörigkeit zur Heimateinrichtung
affiliate
student
cn=studiengang.+
staff
cn=angestellte,.+
cn=professoren,.+
member
cn=studiengang.+
cn=angestellte,.+
cn=professoren,.+
Affiliation type (with institution)
Zugehörigkeit (+ Einrichtung)
Type of affiliation with Home Organization with scope
Art der Zugehörigkeit zur Heimateinrichtung mit Geltungsbereich
Entitlement
Berechtigung
URI that indicates a set of rights to specific resources
Zeichenkette, die Rechte für spezifische Ressourcen beschreibt
==== Attributdefinition im IdP 4.x ====
In **Neu**installationen des IdP 4.x ist die Datei übersichtlicher gestaltet:
affiliate
student
cn=studiengang.+
staff
cn=angestellte,.+
cn=professoren,.+
member
cn=studiengang.+
cn=angestellte,.+
cn=professoren,.+
==== Attributfreigabe ====
{{tag>idp4}}