Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:access_services [2017/06/13 16:51]
Wolfgang Pempe
de:access_services [2019/07/30 10:13] (aktuell)
Wolfgang Pempe
Zeile 1: Zeile 1:
-====== Dienste nutzen ====== +====== Dienste nutzen ​(IdP) ====== 
-Im Rahmen der DFN-AAI steht eine Vielzahl von Diensten zur Verfügung, die ein breites Spektrum von Anwendungsszenarien bedienen. Eine Übersicht über die verfügbaren Service Provider ​bieten die folgenden Verzeichnisse:​ +Im Rahmen der DFN-AAI steht eine Vielzahl von Diensten zur Verfügung, die ein breites Spektrum von Anwendungsszenarien bedienen. Eine Übersicht über die verfügbaren Service Provider ​in den verschiedenen ​[[de:metadata|Metadaten-Aggregaten]] bietet ​der [[https://tools.aai.dfn.de/​entities/​|DFN-AAI ​Metadata Viewer]]. 
-  * [[https://​www.aai.dfn.de/​verzeichnis/​sp-dfn-aai/​|DFN-AAI]] (für IdPs der Verlässlichkeitsklasse "​Advanced"​) +
-  * [[https://www.aai.dfn.de/​verzeichnis/​sp-dfn-aai-basic/|DFN-AAI-Basic]] (für alle IdPs, d.h. IdPs der Verlässlichkeitsklassen "​Advanced"​ und "​Basic"​) +
-  * [[https://​www.aai.dfn.de/​verzeichnis/​sp-dfn-aai-edugain/​|DFN-AAI-eduGAIN]] ([[https://​www.aai.dfn.de/​teilnahme/​edugain/​|eduGAIN]],​ für alle teilnehmenden IdPs)+
 Als technische Voraussetzung müssen IdP-seitig die entsprechenden MetadataProvider konfiguriert sein, siehe hierzu die Hinweise zum [[de:​production|Produktivbetrieb]]. Weiterhin muss der jeweilige IdP technisch in der Lage sein, die zur Nutzung des jeweiligen Dienstes erforderlichen Attribute zu generieren (attribute-resolver.xml) und zu übertragen (attribute-filter.xml). Siehe hierzu die [[de:​shibidp3attributes|Konfigurationsbeispiele zum Shibboleth IdP]], sowie die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​AttributeResolverConfiguration|Dokumentation und die Beispiele im Shibboleth Wiki]].\\ Als technische Voraussetzung müssen IdP-seitig die entsprechenden MetadataProvider konfiguriert sein, siehe hierzu die Hinweise zum [[de:​production|Produktivbetrieb]]. Weiterhin muss der jeweilige IdP technisch in der Lage sein, die zur Nutzung des jeweiligen Dienstes erforderlichen Attribute zu generieren (attribute-resolver.xml) und zu übertragen (attribute-filter.xml). Siehe hierzu die [[de:​shibidp3attributes|Konfigurationsbeispiele zum Shibboleth IdP]], sowie die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​AttributeResolverConfiguration|Dokumentation und die Beispiele im Shibboleth Wiki]].\\
 Eine Übersicht zum Attribut-Fluss findet sich in den [[https://​wiki.aai.dfn.de/​_media/​20150624-aaiws13-04-attribute.pdf|Unterlagen zum 13. DFN-AAI Workshop an der Hochschule Amberg-Weiden]].\\ Eine Übersicht zum Attribut-Fluss findet sich in den [[https://​wiki.aai.dfn.de/​_media/​20150624-aaiws13-04-attribute.pdf|Unterlagen zum 13. DFN-AAI Workshop an der Hochschule Amberg-Weiden]].\\
-Beachten Sie bitte auch bei der Übertragung personenbezogener Daten die Aspekte des [[https://​www.aai.dfn.de/​der-dienst/​datenschutz/​|Datenschutzes]]. In jedem Fall sollte der Einsatz eines sog. User Consent Modules erwogen werden, wie es z.B. beim Shibboleth IdP ab Version 3 integriert ist. +Beachten Sie bitte auch bei der Übertragung personenbezogener Daten die Aspekte des [[https://​www.aai.dfn.de/​der-dienst/​datenschutz/​|Datenschutzes]]. In jedem Fall sollte der Einsatz eines sog. User Consent Modules erwogen werden, wie es z.B. beim Shibboleth IdP ab Version 3 integriert ist.\\
 Die Verfügbarkeit eines Dienstes kann im Einzelfall eingeschränkt sein, sowohl auf bestimmte IdPs bzw. Einrichtungen,​ als auch auf einzelne Nutzer und Nutzergruppen. Die Verfügbarkeit eines Dienstes kann im Einzelfall eingeschränkt sein, sowohl auf bestimmte IdPs bzw. Einrichtungen,​ als auch auf einzelne Nutzer und Nutzergruppen.
-Verfügbarkeit von Diensten +==== Verfügbarkeit von Diensten ​==== 
- +Zu den im folgenden erwähnten Attributen siehe auch diese [[de:​common_attributes|Übersicht]].
-Zu den im folgenden erwähnten Attributen siehe auch diese Übersicht. +
- +
-Eine Reihe von Diensten stehen prinzipiell allen Nutzer(inne)n und Einrichtungen offen, allerdings sind sie in der Regel nur personalisiert nutzbar, d.h. vom IdP müssen personenbezogene Angaben wie bspw. eMail-Adresse,​ Personenname und/oder ein eindeutiger Identifier (z.B. eduPersonPrincipalName,​ persinstentId,​ eduPersonTargetedID,​ eduPersonUniqueId) übertragen werden. Dienste dieser Art sind zum Beispiel: +
- +
-    Foodle (DFN-AAI-eduGAIN) +
-    Funet FileSender (DFN-AAI-eduGAIN) +
-    Gigamove (DFN-AAI) +
-    TextGrid (DFN-AAI-Basic) +
-    WebLicht (DFN-AAI) +
- +
-Andere Dienste stehen zwar grundsätzlich allen IdPs/​Einrichtungen offen, allerdings sind nur bestimmte Nutzergruppen berechtigt, den jeweiligen Dienst zu nutzen. I.d.R. handelt es sich hierbei um Angehörige der jeweiligen Einrichtung im engeren Sinne, d.h. gemäß des jeweiligen Landeshochschulgesetzes. Zur Autorisierung wird normalerweise eduPersonScopedAffiliation und/oder ggf. eduPersonEntitlement abgefragt, beispielsweise beim Einrichten von Meetings im Rahmen der vom DFN angebotenen +
- +
-    Webkonferenzen (DFN-AAI-Basic) +
- +
-Der Zugang zum DFN Webconferencing steht prinzipiell allen Angehörigen von Einrichtungen zur Verfügung, die DFN Internet nutzen, muss allerdings jeweils von der DFN-VC Hotline eingerichtet werden. +
- +
-Eine weitere, sehr große Gruppe, stellen die klassischen Bibliotheksdienste dar, also Inhaltsanbieter (Content Providers) die nur von Angehörigen von Einrichtungen genutzt werden können, mit denen ein meist kostenpflichtiger Lizenzvertrag abgeschlossen wurde. Normalerweise sind gemäß den Lizenzbestimmungen nur bestimmte Nutzergruppen berechtigt, auf die jeweiligen Inhalte zuzugreifen,​ d.h. auch hier ist eine Autorisierung anhand bestimmter Attribute erforderlich. Bei den berechtigten Nutzergruppen handelt es sich in aller Regel um Angehörige der jeweiligen Einrichtung gemäß des jeweiligen Landeshochschulgesetzes und fallweise um Bibliotheksnutzer(innen),​ die von Bibliotheksterminals aus auf lizenzierte Inhalte zugreifen (Library Walk-In). Zur Autorisierung werden wahlweise die Attribute eduPersonScopedAffiliation mit den anonymen Werten "​member@..."​ bzw. "​library-walk-in@..."​ oder eduPersonEntitlement mit "​urn:​mace:​dir:​entitlement:​common-lib-terms"​ ausgewertet. Ein Beispiel für eine entsprechende Attribute Filter Policy findet sich in der IdP-Dokumentation. Diese Art von Diensten ist in der Regel nur für IdPs der Verlässlichkeitsklasse "​Advanced"​ verfügbar. Hier ein kleiner Auswahl solcher Dienste: +
- +
-    EBSCOhost (DFN-AAI) +
-    ProQuest (DFN-AAI) +
-    SpringerLink (DFN-AAI)+
  
-Seit einiger Zeit setzen internationale Forschungsinfrastrukturen vermehrt auf föderierten Zugang zu ihren Diensten. In manchen Fällen ​stehen ​solche Dienste einer breiten wissenschaftlichen Öffentlichkeit zur Verfügung ​(z.B. TextGrid oder WebLicht, s.o.), in anderen Fällen ​sind speziellemitunter temporäre Berechtigungen erforderlichdie häufig über Entitlements abgebildet ​und von der jeweiligen wissenschaftlichen Community gepflegt werdenDies Attribute werden üblicherweise nicht von den IdPs der jeweiligen Heimatorganisation vorgehaltensondern in Attribute Authorities hinterlegtdie vom jeweiligen Projekt gepflegt ​werden. ​Nicht nur der guten wissenschaftlichen Praxis wegen, sondern auch um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(inund den in einer dienst-/projekt-spezifischen Attribute Authority hinterlegten Attributen herzustellenist neben Angaben zu Personennamen, Einrichtung ​und eMail ein global gültigereindeutiger Identifier erforderlich,​ z.BeduPersonPrincipalNameeMail-Adresse oder eduPersonUniqueId ​(siehe auch Attribute). Zum Thema Attribute Authority siehe einstweilen diese Präsentation von der 59Betriebstagung.+Eine Reihe von Diensten stehen ​prinzipiell **allen Nutzer(inne)n und Einrichtungen** offenallerdings ​sind sie in der Regel nur **personalisiert nutzbar**d.h. vom IdP müssen personenbezogene Angaben wie bspw. E-Mail-AdressePersonenname ​und/oder ein eindeutiger Identifier (z.B. eduPersonPrincipalNamepersinstentIdeduPersonTargetedID,​ eduPersonUniqueId) übertragen ​werden. ​Dienste dieser Art sind zum Beispiel: 
 +  * [[https://​gigamove.rz.rwth-aachen.de/​help|Gigamove]] ​(DFN-AAI) 
 +  * [[http://​www.textgrid.de/​registrierungdownload/​registrierung/​|TextGrid]] (DFN-AAI-Basic) 
 +  * [[http://​weblicht.sfs.uni-tuebingen.de/​weblichtwiki/​index.php/​Main_Page|WebLicht]] (DFN-AAI) 
 +Andere Dienste stehen zwar grundsätzlich **allen IdPs/​Einrichtungen** offenallerdings sind nur **bestimmte Nutzergruppen** berechtigtden jeweiligen Dienst zu nutzen. I.d.R. handelt es sich hierbei um Angehörige der jeweiligen ​Einrichtung ​im engeren Sinned.hgemäß des jeweiligen Landeshochschulgesetzes. Zur **Autorisierung** wird normalerweise eduPersonScopedAffiliation und/oder ggf. eduPersonEntitlement abgefragtbeispielsweise beim Einrichten von Meetings im Rahmen der vom DFN angebotenen 
 +   * [[https://​www.conf.dfn.de/​beschreibung-des-dienstes/​aai-freischaltung/​|Konferenzdienste ​(DFNconf)]] (DFN-AAI-Basic) 
 +Allgemeine Informationen zu den Konferenzdiensten des DFN erhalten Sie unter https://www.conf.dfn.de 
  
 +Eine weitere, sehr große Gruppe, stellen die klassischen Bibliotheksdienste dar, also Inhaltsanbieter (Content Providers) die nur von Angehörigen von **Einrichtungen** genutzt werden können, mit denen ein meist kostenpflichtiger **Lizenzvertrag** abgeschlossen wurde. Normalerweise sind gemäß den Lizenzbestimmungen nur **bestimmte Nutzergruppen** berechtigt, auf die jeweiligen Inhalte zuzugreifen,​ d.h. auch hier ist eine **Autorisierung** anhand bestimmter Attribute erforderlich. Bei den berechtigten Nutzergruppen handelt es sich in aller Regel um Angehörige der jeweiligen Einrichtung gemäß des jeweiligen Landeshochschulgesetzes und fallweise um Bibliotheksnutzer(innen),​ die von Bibliotheksterminals aus auf lizenzierte Inhalte zugreifen (Library Walk-In). Zur Autorisierung werden wahlweise die Attribute eduPersonScopedAffiliation mit den anonymen Werten "​member@..."​ bzw. "​library-walk-in@..."​ oder eduPersonEntitlement mit "​urn:​mace:​dir:​entitlement:​common-lib-terms"​ ausgewertet. Ein Beispiel für eine entsprechende Attribute Filter Policy findet sich in der IdP-Dokumentation. Diese Art von Diensten ist in der Regel nur für IdPs der [[de:​degrees_of_reliance|Verlässlichkeitsklasse]] "​Advanced"​ verfügbar. Hier ein kleiner Auswahl solcher Dienste:
 +  * [[https://​www.ebscohost.com/​|EBSCOhost]] (DFN-AAI)
 +  * [[http://​www.proquest.com/​connect/​|ProQuest]] (DFN-AAI)
 +  * [[http://​link.springer.com/​|SpringerLink]] (DFN-AAI)
 +Seit einiger Zeit setzen **internationale Forschungsinfrastrukturen** vermehrt auf föderierten Zugang zu ihren Diensten. In manchen Fällen stehen solche Dienste einer breiten wissenschaftlichen Öffentlichkeit zur Verfügung (z.B. TextGrid oder WebLicht, s.o.), in anderen Fällen sind spezielle, mitunter temporäre Berechtigungen erforderlich,​ die häufig über Entitlements abgebildet und von der jeweiligen wissenschaftlichen Community gepflegt werden. Dies Attribute werden üblicherweise nicht von den IdPs der jeweiligen Heimatorganisation vorgehalten,​ sondern in Attribute Authorities hinterlegt, die vom jeweiligen Projekt gepflegt werden. Nicht nur der guten wissenschaftlichen Praxis wegen, sondern auch um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und den in einer dienst-/​projekt-spezifischen Attribute Authority hinterlegten Attributen herzustellen,​ ist neben Angaben zu Personennamen,​ Einrichtung und eMail ein global gültiger, eindeutiger Identifier erforderlich,​ z.B. eduPersonPrincipalName,​ eMail-Adresse oder eduPersonUniqueId (siehe auch unter [[https://​www.aai.dfn.de/​der-dienst/​attribute/​|Attribute]]). Zum Thema Attribute Authority siehe einstweilen [[https://​www.dfn.de/​fileadmin/​3Beratung/​Betriebstagungen/​bt59/​aai2-SP-seitiges_Rechtemanagement.pdf|diese Präsentation]] von der 59. Betriebstagung.
  • Zuletzt geändert: vor 3 Jahren