Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp3attributes-publishers [2017/02/24 17:19] – Raoul Gunnar Borenius | de:shibidp:config-attributes-publishers [2020/04/16 13:06] – ↷ Seite von de:shibidp3attributes-publishers nach de:shibidp:config-attributes-publishers verschoben und umbenannt Silke Meyer |
---|
| |
Sofern Ihre Hochschule (oder meist die Bibliothek der Hochschule) Lizenzverträge mit kommerziellen Verlagsanbietern abgeschlossen hat ist es mittlerweile möglich statt der unkomfortablen IP-basierten | Sofern Ihre Hochschule (oder meist die Bibliothek der Hochschule) Lizenzverträge mit kommerziellen Verlagsanbietern abgeschlossen hat ist es mittlerweile möglich statt der unkomfortablen IP-basierten |
Autorisierung auch einen Login per SAML/AAI zu nutzen (bei den Anbietern etwas missverständlich auch oft "Shibboleth"-Login genannt, das ist so als ob man statt von "Web-Seiten" von "Apache-Seiten" reden würde). | Autorisierung auch einen Login per SAML/AAI zu nutzen, bei den Anbietern übrigends oft auch etwas missverständlich "Shibboleth"-Login genannt (das ist so als ob man statt von "Web-Seiten" von "Apache-Seiten" reden würde). |
| |
Glücklicherweise haben sich die Anbieter im Verlagsbereich schon seit geraumer Zeit auf einheitliche Attributanforderungen geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle grossen Verlagsanbieter auf einmal "erschlagen". | Glücklicherweise haben sich die Anbieter im Verlagsbereich schon seit geraumer Zeit auf einheitliche Attributanforderungen geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle großen Verlagsanbieter auf einmal "erschlagen". |
| |
** Wichtig: trotzdem bleibt es Ihnen nicht erspart alle Anbieter einzeln darüber zu informieren dass Sie jetzt einen SAML-fähigen IdP betreiben und diesen gerne für den Zugriff nutzen wollen. Bei manchen Anbietern kann man dies online aktivieren, andere müssen auf anderen Wegen kontaktiert werden. Klären Sie das bitte mit der jeweiligen Kontaktperson des Verlages. ** | ** Wichtig: trotzdem bleibt es Ihnen nicht erspart, alle Anbieter einzeln darüber zu informieren, dass Sie jetzt einen SAML-fähigen IdP betreiben und diesen gerne für den Zugriff nutzen wollen. Bei manchen Anbietern kann man dies online aktivieren, andere müssen auf anderen Wegen kontaktiert werden. Klären Sie das bitte mit der jeweiligen Kontaktperson des Verlages. ** |
| |
Die Verlage erwarten im Normalfall eines von zwei Attributen: | Die Verlage erwarten im Normalfall eines von zwei Attributen: |
| |
* Zugehorigkeit des Users: eduPersonScopedAffiliation mit dem Wert "member@SCOPE" | * Zugehörigkeit des Users: eduPersonScopedAffiliation mit dem Wert "member@SCOPE" |
* Berechtigung des Users: eduPersonEntitliment mit dem Wet "urn:mace:dir:common-lib-terms" | * Berechtigung des Users: eduPersonEntitlement mit dem Wert "urn:mace:dir:common-lib-terms" |
| |
Im ersten Moment erscheint es vielleicht naheliegend das IdM-Scheme um das eduPerson-Schema zu | Im ersten Moment erscheint es vielleicht naheliegend, das IdM-Scheme um das eduPerson-Schema zu |
erweitern um dann jedem vorhandenen User die entsprechende Zugehörigkeit und Berechtigung | erweitern, um dann jedem vorhandenen User die entsprechende Zugehörigkeit und Berechtigung |
im IdM zu geben. | im IdM zu geben. |
| |
Da die Usergruppen im IdM-System in den allermeisten Fällen sicherlich schon unterscheidbar | Da die Usergruppen im IdM-System in den allermeisten Fällen schon unterscheidbar |
angelegt sind (z.B. Studenten, Angestellt, Professoren, Gäste in einzelnen Teilbáumen oder zumindest | angelegt sind (z.B. Studenten, Angestellte, Professoren, Gäste in einzelnen Teilbäumen oder zumindest |
in eigenen "memberOfs") ist es viel eleganter diese schon vorhandene Gruppeninformatition zu nutzen | in eigenen "memberOfs") ist es viel eleganter diese schon vorhandene Gruppeninformatition zu nutzen, |
um im idP "on-the-fly" die nötigen Werte für eduPersonScopedAffiliation und eduPersonEntitliment | um im idP "on-the-fly" die nötigen Werte für eduPersonScopedAffiliation und eduPersonEntitliment |
zu erzeugen. Der grosse Vorteil dieser Methode ist dass Ihr IdM-System nicht erweitert werden | zu erzeugen. Der große Vorteil dieser Methode ist, dass Ihr IdM-System nicht erweitert werden |
muss und z.B. Eingabemasken für IdM-Sachbearbeiter nicht modifiziert werden müssen. | muss und z.B. Eingabemasken für IdM-Sachbearbeiter nicht modifiziert werden müssen. |
| |
Wir gehen von einem Beispiel-IdM aus in dem es folgende Gruppen gibt: | Wir gehen von einem Beispiel-IdM aus, in dem es folgende Gruppen gibt: |
| |
^ Gruppe ^ memberOf ^ | ^ Gruppe ^ memberOf ^ |
| Gäste | cn=gaeste,ou=users,dc=beispiel-uni,dc=de | | | Gäste | cn=gaeste,ou=users,dc=beispiel-uni,dc=de | |
| |
Die ersten drei Gruppen sollen in diesem Beispiel im Sinne des Landshochschulgesetzes als "Angehörige" (="member") der Einrichtung anzusehen sein, die Gruppe "Gäste" ist nicht "angehörig" und somit nicht | Beispielhaft solle die ersten drei Gruppen im Sinne des Landshochschulgesetzes als "Angehörige" (="member") der Einrichtung anzusehen sein, die Gruppe "Gäste" dagegen nicht und ist somit nicht nutzungsberechtigt. |
nutzungsberechtigt. Bitte konsultieren Sie für Ihre konkrete Einrichtung das LHG Ihres Bundeslandes um | **Bitte konsultieren Sie für Ihren konkreten Fall den Lizenzvertrag mit dem Anbieter und ggfs. das LHG Ihres Bundeslandes um festzustellen welche Gruppen welche Berechtigungen bekommen sollen!** |
festzustellen welche Gruppen welche Berechtigungen bekommen sollen! | |
| |
<file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
<!-- eduPersonAffiliaton aus dem 'memberof' herausholen --> | <!-- eduPersonAffiliaton aus dem 'memberof' herausholen --> |
| |
<AttributeDefinition xsi:type="Mapped" id="eduPersonAffiliation" sourceAttributeID="memberOf"> | <AttributeDefinition xsi:type="Mapped" id="eduPersonAffiliation"> |
<Dependency ref="myLDAP" /> | <InputDataConnector ref="myLDAP" attributeNames="memberOf"/> |
<DisplayName xml:lang="en">Affiliation type</DisplayName> | <DisplayName xml:lang="en">Affiliation type</DisplayName> |
<DisplayName xml:lang="de">Zugehörigkeit</DisplayName> | <DisplayName xml:lang="de">Zugehörigkeit</DisplayName> |
<DisplayDescription xml:lang="en">Type of affiliation with Home Organization</DisplayDescription> | <DisplayDescription xml:lang="en">Type of affiliation with Home Organization</DisplayDescription> |
<DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung</DisplayDescription> | <DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:eduPersonAffiliation" /> | |
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" friendlyName="eduPersonAffiliation" /> | <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" friendlyName="eduPersonAffiliation" /> |
| |
| |
<!-- Mapping der Gruppen aus dem IdM jede Gruppe bekommt eine eigene eduPersonAffiliation | <!-- Mapping der Gruppen aus dem IdM jede Gruppe bekommt eine eigene eduPersonAffiliation |
und zusätzlich "member" sofern "Angehörig" im Sinne LHG --> | und zusätzlich "member" sofern "Angehörige" im Sinne LHG --> |
| |
<ValueMap> | <ValueMap> |
| |
<!-- eduPersonScopedAffiliation aus eduPersonAffiliation bilden --> | <!-- eduPersonScopedAffiliation aus eduPersonAffiliation bilden --> |
<AttributeDefinition xsi:type="Scoped" id="eduPersonScopedAffiliation" scope="%{idp.scope}" sourceAttributeID="eduPersonAffiliation"> | <AttributeDefinition xsi:type="Scoped" id="eduPersonScopedAffiliation" scope="%{idp.scope}"> |
<Dependency ref="eduPersonAffiliation" /> | <InputAttributeDefinition ref="eduPersonAffiliation"/> |
<DisplayName xml:lang="en">Affiliation type (with institution)</DisplayName> | <DisplayName xml:lang="en">Affiliation type (with institution)</DisplayName> |
<DisplayName xml:lang="de">Zugehörigkeit (+ Einrichtung)</DisplayName> | <DisplayName xml:lang="de">Zugehörigkeit (+ Einrichtung)</DisplayName> |
<DisplayDescription xml:lang="en">Type of affiliation with Home Organization with scope</DisplayDescription> | <DisplayDescription xml:lang="en">Type of affiliation with Home Organization with scope</DisplayDescription> |
<DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung mit Geltungsbereich</DisplayDescription> | <DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung mit Geltungsbereich</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1ScopedString" name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" encodeType="false" /> | |
<AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" friendlyName="eduPersonScopedAffiliation" encodeType="false" /> | <AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" friendlyName="eduPersonScopedAffiliation" encodeType="false" /> |
</AttributeDefinition> | </AttributeDefinition> |
<!-- eduPersonEntitlement je nach eduPersonAffiliation setzen --> | <!-- eduPersonEntitlement je nach eduPersonAffiliation setzen --> |
<AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement"> | <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement"> |
<Dependency ref="eduPersonAffiliation" /> | <InputAttributeDefinition ref="eduPersonAffiliation" /> |
<DisplayName xml:lang="en">Entitlement</DisplayName> | <DisplayName xml:lang="en">Entitlement</DisplayName> |
<DisplayName xml:lang="de">Berechtigung</DisplayName> | <DisplayName xml:lang="de">Berechtigung</DisplayName> |
<DisplayDescription xml:lang="en">URI that indicates a set of rights to specific resources</DisplayDescription> | <DisplayDescription xml:lang="en">URI that indicates a set of rights to specific resources</DisplayDescription> |
<DisplayDescription xml:lang="de">Zeichenkette, welche Rechte für spezifischen Ressourcen beschreibt</DisplayDescription> | <DisplayDescription xml:lang="de">Zeichenkette, die Rechte für spezifische Ressourcen beschreibt</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:eduPersonEntitlement" /> | |
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" /> | <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" /> |
<Script> | <Script> |
</AttributeFilterPolicy> | </AttributeFilterPolicy> |
</file> | </file> |
| |
| {{tag>idp3}} |