Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3attributes-linkedin [2020/01/16 14:32]
Silke Meyer
de:shibidp3attributes-linkedin [2020/02/26 16:24] (aktuell)
Silke Meyer [Konfiguration für Login mit Namen und/oder E-Mailadressen]
Zeile 2: Zeile 2:
 ====== LinkedIn Learning ====== ====== LinkedIn Learning ======
 {{INLINETOC 2}} {{INLINETOC 2}}
 +
 +<callout type="​info"​ title="​Work in Progress">​
 +Diese Anleitung noch nicht vollständig! Vielen Dank an die Helfer*innen,​ die daran mitgearbeitet haben!
 +</​callout>​
  
 ===== Attributübertragung ===== ===== Attributübertragung =====
  
-Etliche Hochschulen haben aus Datenschutzgründen bei LinkedIn Learning erreicht, dass nur die persistentId übermittelt wird und dass die Nutzer*innen nach dem Login weder dazu aufgefordert werden, Namen und Mailadresse anzugeben, noch den Account mit einem LinkedIn-Account zu verknüpfen. LinkedIn Learning unterstützt dies. Für die Nutzer*innen bedeutet ein pseudonymes Login jedoch deutliche Einschränkungen,​ denn der SP kann dann keine **personalisierten Leistungsnachweise** ausgeben. Standardmäßig ist dies möglich, dazu werden dann Namen und E-Mailadressen übertragen.+Etliche Hochschulen haben aus Datenschutzgründen bei LinkedIn Learning erreicht, dass nur die persistentId übermittelt wird und dass die Nutzer*innen nach dem Login weder dazu aufgefordert werden, Namen und Mailadresse anzugeben, noch den Account mit einem LinkedIn-Account zu verknüpfen. LinkedIn Learning unterstützt dies. Für die Nutzer*innen bedeutet ein pseudonymes Login jedoch deutliche Einschränkungen,​ denn der SP kann dann keine **personalisierten Leistungsnachweise** ausgeben. Standardmäßig ist dies möglich, dazu werden dann Namen und E-Mailadressen übertragen. Welchen Weg Sie beschreiten,​ wird von Einsatzszenarien des SP in der Lehre und/oder von Datenschutzvorgaben abhängen.
  
 ===== Konfiguration Ihres Tenant SP bei LinkedIn Learning ===== ===== Konfiguration Ihres Tenant SP bei LinkedIn Learning =====
Zeile 18: Zeile 22:
  
 So holen Sie sich die Metadaten Ihres Identity Providers: So holen Sie sich die Metadaten Ihres Identity Providers:
-  - Melden Sie sich an der Metadatenverwaltung an (https://​www.aai.dfn.de/​verwaltung/​metadaten/​)+  - Melden Sie sich an der [[https://​www.aai.dfn.de/​verwaltung/​metadaten/​|Metadatenverwaltung]] an
-  - Suchen Sie sich in der IdP-Liste das Produktivsystem und klicken Sie auf das blaue "​xml"​ bei DFN-AAI bzw. DFN-AAI-Basic. Der Metadatensatz wird Ihnen angezeigt. +  - Suchen Sie sich in der IdP-Liste das Produktivsystem und klicken Sie auf das blaue "​xml"​ bei DFN-AAI bzw. DFN-AAI-Basic: {{de:​aai:​ll9.png}} 
-  - Mit diesen Informationen füllen Sie das Formular ​bei LinkedIn Learning ​aus. (Fehlender Screenshot der IdP-Metadaten ​folgt...) ​{{de:​aai:​ll5.png}}+  - Der Metadatensatz wird Ihnen angezeigt. 
 +  - Einige haben die Erfahrung gemacht, dass der Upload in dem Webinterface ​bei LinkedIn Learning ​nicht korrekt funktioniert. Sie können die Metadaten dort jedoch manuell einpflegen. ("​Möchten Sie die Informationen manuell eingeben? Hier klicken"​) 
 +  - So fügen Sie Ihre IdP-Metadaten ​hinzu: ​{{de:​aai:​ll5.png}}
  
 ===== Einbinden der Metadaten Ihres LinkedIn Learning SP am IdP ===== ===== Einbinden der Metadaten Ihres LinkedIn Learning SP am IdP =====
 Sie erhalten von LinkedIn die Metadaten Ihres hochschulspezifischen Tenant SP. Gehen Sie wie folgt vor, um ihn einzubinden:​ Sie erhalten von LinkedIn die Metadaten Ihres hochschulspezifischen Tenant SP. Gehen Sie wie folgt vor, um ihn einzubinden:​
-  - Legen Sie in der [[https://​www.aai.dfn.de/​verwaltung/​|Metadatenverwaltung]] einen neuen SP an. Verwenden Sie dafür die EntityID aus dem Metadatensatz.+  - Legen Sie in der [[https://​www.aai.dfn.de/​verwaltung/​|Metadatenverwaltung]] einen [[de:​metadata_local|neuen lokalen ​SP]] an. Verwenden Sie dafür die EntityID aus dem Metadatensatz.
   - Legen Sie den Metadatensatz auf Ihren Webserver, so dass er von der Metadatenverwaltung aus abrufbar ist. Geben Sie die URL in das Feld Metadatengenerator ein und klicken Sie "​abfragen"​. Damit werden alle Informationen aus dem Metadatensatz geholt. Nur so bekommen Sie die Felder "​AuthnRequests Signed"​ und "Want Assertions Signed"​ in der Metadatenverwaltung angezeigt. Die Datei können Sie danach wieder vom Webserver löschen.   - Legen Sie den Metadatensatz auf Ihren Webserver, so dass er von der Metadatenverwaltung aus abrufbar ist. Geben Sie die URL in das Feld Metadatengenerator ein und klicken Sie "​abfragen"​. Damit werden alle Informationen aus dem Metadatensatz geholt. Nur so bekommen Sie die Felder "​AuthnRequests Signed"​ und "Want Assertions Signed"​ in der Metadatenverwaltung angezeigt. Die Datei können Sie danach wieder vom Webserver löschen.
   - Editieren Sie für die fehlenden Felder den SP-Metadatensatz wie folgt:   - Editieren Sie für die fehlenden Felder den SP-Metadatensatz wie folgt:
Zeile 34: Zeile 40:
     * Kontakte: Hier geben Sie die üblichen Adressen Ihrer Heimateinrichtung ein.     * Kontakte: Hier geben Sie die üblichen Adressen Ihrer Heimateinrichtung ein.
     * NameID Formate: ''​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent''​     * NameID Formate: ''​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent''​
-  - Ganz unten bei den Föderationen:​ Nehmen Sie den SP in Ihre lokalen Metadaten auf: {{de:​aai:​ll6.png}} +  - Ganz unten bei den Föderationen:​ Nehmen Sie den SP in Ihre **lokalen Metadaten** auf: {{de:​aai:​ll6.png}} 
-  - Nach der nächsten Aktualisierung der Metadaten steht Ihnen der Tenant SP zur Verfügung.+  - Speichern Sie den neuen lokalen SP. Die rote Warnung "​POLICY Uns liegt noch kein SP-Vertrag mit ihrer Einrichtung vor (egal für Test und lokale Metadaten)"​ können Sie ignorieren. 
 +  - Nach der nächsten Aktualisierung der Metadaten steht Ihnen der Tenant SP zur Verfügung. Warten Sie mindestens 60 Minuten, bevor Sie testen.
  
-===== Übertragung der persistentId und Erlauben unverschlüsselter SAML-Assertions ​=====+===== Konfiguration für pseudonymes Login ===== 
 +==== Übertragung der persistentId und Erlauben unverschlüsselter SAML-Assertions ====
 Die LinkedIn-SPs sind nicht in der Lage, verschlüsselte SAML-Assertions zu verarbeiten. Sie können das wie folgt für diesen einen SP auf optional setzen. Dies und die Freischaltung der persistentId bewerkstelligen Sie mit folgenden Einträgen in der relying-party.xml:​ Die LinkedIn-SPs sind nicht in der Lage, verschlüsselte SAML-Assertions zu verarbeiten. Sie können das wie folgt für diesen einen SP auf optional setzen. Dies und die Freischaltung der persistentId bewerkstelligen Sie mit folgenden Einträgen in der relying-party.xml:​
 <file xml ./​conf/​relying-party.xml>​ <file xml ./​conf/​relying-party.xml>​
Zeile 72: Zeile 80:
 </​file>​ </​file>​
  
-===== Aktivierungslink statt E-Mail-Abfrage ​=====+==== Aktivierungslink statt E-Mail-Abfrage ====
  
 Wenn Sie sich gegen die Anmeldung mit einer E-Mailadresse entschieden haben, können Sie Ihren Nutzer*innen einen Aktivierungslink zur Verfügung stellen, über den sie zum IdP kommen. Achtung: Dieser Link ist offenbar nicht statisch, sondern er ändert sich bei Konfigurationsänderungen! Sie könnten eine Weiterleitung von https://​ihre-hochschule.de/​LinkedInLearning auf den jeweiligen Aktivierungslink erstellen, so dass die Nutzer*innen davon nichts mitbekommen. So finden Sie den Aktivierungslink:​ Wenn Sie sich gegen die Anmeldung mit einer E-Mailadresse entschieden haben, können Sie Ihren Nutzer*innen einen Aktivierungslink zur Verfügung stellen, über den sie zum IdP kommen. Achtung: Dieser Link ist offenbar nicht statisch, sondern er ändert sich bei Konfigurationsänderungen! Sie könnten eine Weiterleitung von https://​ihre-hochschule.de/​LinkedInLearning auf den jeweiligen Aktivierungslink erstellen, so dass die Nutzer*innen davon nichts mitbekommen. So finden Sie den Aktivierungslink:​
Zeile 78: Zeile 86:
   - Gehen Sie zur Administratorseite.   - Gehen Sie zur Administratorseite.
   - Klicken Sie in der Menüleiste "​Personen"​ an, im Untermenü wählen Sie "​Nutzer"​ aus.   - Klicken Sie in der Menüleiste "​Personen"​ an, im Untermenü wählen Sie "​Nutzer"​ aus.
-  - Klicken sie auf "​Aktivierungslink erhalten"​{{de:​aai:​ll7.png}}+  - Klicken sie auf "​Aktivierungslink erhalten"​:{{de:​aai:​ll7.png}} 
 +  - Der Aktivierungslink für Ihre Einrichtung wird Ihnen jetzt gezeigt:​{{de:​aai:​ll8.png}} 
 + 
 +===== Konfiguration für Login mit Namen und/oder E-Mailadressen ===== 
 +Wenn Sie die Standardkonfiguration von LinkedIn Learning einbauen, dann müssen Sie in deren Konfigurationsformular das Mapping der Attribute vornehmen, wie im folgenden Screenshot zu sehen ist: Im linken Feld "Map to SSO" geben Sie den **Namen der SSO-Verbindung** ein, den Sie oben gewählt haben (hier im Beispiel: "​Shibboleth"​). 
 + 
 +Als **Attributnamen** geben Sie nicht den "​friendly name" an, sondern die standardisierte **URN**, so , wie sie für das jeweilige Attribut in ''​conf/​attribute-resolver.xml''​ steht. 
 + 
 +{{:​de:​aai:​custom_attribute_linkedin.png?​1000|}} 
 + 
 +===== Zertifikatswechsel ===== 
 +Der Zertifikatswechsel in der Metadatenverwaltung wird genau so durchgeführt [[https://​doku.tid.dfn.de/​de:​certificates#​zertifikatstausch|wie bei anderen SPs auch]], d.h. Sie lassen beide Zertifikate,​ das alte und das neue, vorübergehend parallel in den Metadaten stehen.
  • Zuletzt geändert: vor 2 Monaten