...
Uiteraard kan het zijn dat niet al deze mogelijkheden door de dienstverlener worden ondersteund.
Expand | ||
---|---|---|
| ||
Een complicerende factor bij deze methode is dat bij het inloggen de identiteit van de gebruiker moet worden vastgesteld. Minimaal één van de attributen die de dienst bij logins via SURFconext binnenkrijgt, zal dus overeen moeten komen met de identiteit die de instelling in de dienst heeft aangemaakt. De gebruikelijke manieren van identificeren van SURFconextgebruikers vindt echter plaats met de NameId of met het eduPersonPrincipleName -attribuut; deze komen in dit geval typisch niet in aanmerking voor identificatie, omdat dit afgeleide attributen zijn die (meestal) niet aanwezig zijn in de IdM-systemen van de instelling. We raden daarom aan om voor dit scenario een medewerker- of studentnummer door te geven via het schacPersonalUniqueCode -attribuut. Identificatie op basis van het |
...
De volgende attributen komen in aanmerking:
- eduPersonAffiliation : dit attribuut geeft de rollen aan die een gebruiker heeft binnen de instelling. Op basis van dit attribuut is het dus mogelijk om alleen medewerkers, of juist alleen studenten, toegang te geven tot een bepaalde dienst.
- eduPersonScopedAffiliation : dit attribuut geeft de rollen aan die een gebruiker heeft binnen onderdelen van een instelling.
Zo kan bijvoorbeeld worden aangegeven dat iemand een docent/onderzoeker is bij de faculteit wiskunde (faculty@math.uniharderwijk.nl
), of een student bij de faculteit rechten (student@law.uniharderwijk.nl
). Op basis hiervan kan dus zowel toegang worden verleend aan gebruikers van een specifiek onderdeel (bv., het instituut voor origamikunstmember@origami.uniharderwijk.nl
) van een instelling, of aan gebruikers met een specifieke rol binnen zo'n onderdeel (bv., docentent/onderzoekers van de sterrenkundeafdelingfaculty@astro.uniharderwijk.nl
). - eduPersonEntitlement : dit attribuut kan waarden bevatten die een gebruiker specifiek toegang geven tot één (groep van) diensten. Om toegang te krijgen tot een data-opslagdienst, zou een gebruiker bijvoorbeeld de volgende entitlement-waarde moeten hebben: "
urn:x-surfnet:hippedienst.example.edu:access:true
".
...
In onderstaande tabel worden de belangrijkste eigenschappen van de verschillende manieren van afscherming nogmaals met elkaar vergeleken.
type | beheer | afscherming | ondersteuning SP | |
---|---|---|---|---|
Provisioning | afhankelijk van SP instelling of decentraal | SP | vereist | |
Attributen | instelling: IAM-beheer | SURFconext | niet nodig | |
SP | vereist | |||
Groepen | instellingsgroepen | instelling: IAM-beheer of decentaal | SURFconext | niet nodig |
SP | vereist | |||
SURFconext Teams | decentraal | SURFconext | niet nodig | |
SP | vereist |
Schematisch
Neem voor opmerkingen of vragen gerust contact op met het SURFconext Supportteam (support@surfconext.nl)