Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp3attributes-publishers [2020/04/16 08:54] – Silke Meyer | de:shibidp:config-attributes-publishers [2023/12/05 09:42] (aktuell) – Gerrit Gragert | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== |
+ | (zurück zur [[de: | ||
- | Sofern Ihre Hochschule (oder meist die Bibliothek der Hochschule) Lizenzverträge mit kommerziellen Verlagsanbietern abgeschlossen hat ist es mittlerweile möglich statt der unkomfortablen IP-basierten | + | Viele kommerzielle Verlagsanbieter bieten inzwischen eine Anmeldung über SAML an, also über die DFN-AAI oder eduGAIN. Sie haben sich dazu auf **einheitliche Attributanforderungen** geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle großen Verlagsanbieter auf einmal abdecken können. Die Voraussetzung dafür |
- | Autorisierung auch einen Login per SAML/AAI zu nutzen, bei den Anbietern übrigends oft auch etwas missverständlich " | + | |
- | Glücklicherweise haben sich die Anbieter im Verlagsbereich schon seit geraumer Zeit auf einheitliche Attributanforderungen geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle großen Verlagsanbieter auf einmal " | + | Dennoch sollten Sie die Anbieter einzeln darüber zu informieren, |
- | + | ||
- | ** Wichtig: trotzdem bleibt es Ihnen nicht erspart, alle Anbieter einzeln darüber zu informieren, | + | |
Die Verlage erwarten im Normalfall eines von zwei Attributen: | Die Verlage erwarten im Normalfall eines von zwei Attributen: | ||
- | * Zugehörigkeit des Users: eduPersonScopedAffiliation mit dem Wert " | + | * Zugehörigkeit des Users: |
- | * Berechtigung des Users: eduPersonEntitlement mit dem Wert " | + | * Berechtigung des Users: |
+ | |||
+ | <callout color="# | ||
+ | Ihr Lizenzvertrag oder ggf. das Landeshochschulgesetz Ihres Bundeslandes geben Auskunft darüber, welche Gruppen welche Berechtigungen bekommen. | ||
+ | </ | ||
+ | |||
+ | Eine Orientierung für die Attributfreigaben bietet auch die Gruppe FIM4L (Federated Identity Management For Libraries) https:// | ||
+ | |||
+ | ===== Beispiel ===== | ||
- | Im ersten Moment erscheint es vielleicht naheliegend, das IdM-Scheme | + | Wir zeigen im Folgenden eine Beispielkonfiguration, die **im IdM vorhandene Gruppen** nutzt, |
- | erweitern, um dann jedem vorhandenen User die entsprechende Zugehörigkeit | + | |
- | im IdM zu geben. | + | |
- | Da die Usergruppen im IdM-System in den allermeisten Fällen schon unterscheidbar | + | ^ Gruppe |
- | angelegt sind (z.B. Studenten, | + | | Angestellte |
- | in eigenen " | + | | Studierende A | cn=studiengang A,ou=users, |
- | um im idP "on-the-fly" | + | | Studierende B | cn=studiengang B, |
- | zu erzeugen. Der große Vorteil dieser Methode ist, dass Ihr IdM-System nicht erweitert werden | + | | Professor*innen | cn=profs,ou=users, |
- | muss und z.B. Eingabemasken für IdM-Sachbearbeiter nicht modifiziert werden müssen. | + | | Gäste |
- | Wir gehen von einem Beispiel-IdM aus, in dem es folgende | + | Es soll erreicht werden, dass die ersten vier Gruppen |
- | ^ Gruppe | + | ==== Attributdefinition im upgegradeten IdP 4.x ==== |
- | | Angestellte | cn=angestellte, | + | |
- | | Studenten A | cn=studiengang A,ou=users,dc=beispiel-uni, | + | |
- | | Studenten B | cn=studiengang B, | + | |
- | | Professoren | cn=professoren, | + | |
- | | Gäste | + | |
- | Beispielhaft solle die ersten drei Gruppen im Sinne des Landshochschulgesetzes als " | + | In aktualisierten IdP 4.x mit der alten Syntax/ |
- | **Bitte konsultieren | + | |
<file xml ./ | <file xml ./ | ||
Zeile 70: | Zeile 68: | ||
< | < | ||
</ | </ | ||
- | |||
</ | </ | ||
Zeile 99: | Zeile 96: | ||
</ | </ | ||
</ | </ | ||
+ | </ | ||
+ | ==== Attributdefinition im IdP 4.x ==== | ||
+ | |||
+ | In **Neu**installationen des IdP 4.x ist die Datei übersichtlicher gestaltet: | ||
+ | |||
+ | <file xml ./ | ||
+ | |||
+ | < | ||
+ | | ||
+ | < | ||
+ | < | ||
+ | |||
+ | < | ||
+ | < | ||
+ | |||
+ | < | ||
+ | und zusätzlich " | ||
+ | |||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | if (eduPersonAffiliation.getValues().contains(" | ||
+ | eduPersonEntitlement.getValues().add(" | ||
+ | } | ||
+ | | ||
+ | </ | ||
+ | </ | ||
</ | </ | ||
+ | |||
+ | ==== Attributfreigabe ==== | ||
<file xml ./ | <file xml ./ | ||
- | <!-- Anonyme Angaben | + | <!-- Anonyme Angaben an alle SPs freigeben |
- | damit sind fast alle Verlags-SPs in der Föderation schon zufrieden | + | |
< | < | ||
< | < | ||
Zeile 118: | Zeile 168: | ||
</ | </ | ||
</ | </ | ||
- | |||
</ | </ | ||
</ | </ | ||
- | {{tag>idp3}} | + | {{tag>idp4}} |