Service-Provider (SP)

Authentifizierung

Auch Institute der TU Graz können (und sollen) dieses Service nutzen und müssen damit keine eigene Benutzerverwaltung aufbauen.
Die Authentifizierung bzw. Identifierung erfolgt zentral über das IDM des ZID und überprüft im Prinzip nur, ob Username und Kennwort stimmen.

Autorisierung

Der Service-Provider (SP) entscheidet unabhängig vom ZID, ob er Single Sign-on oder nur Single Sign-in (also gleiche Zugangsdaten, aber mit erzwungener Re-Authentifizierung) anbieten möchte, wie lange eine Anmeldung gültig bleibt und welche User bzw. welche -gruppen (z. B. nur Mitarbeiter und Mitarbeiterinnen des Instituts) das Service nutzen dürfen.

Identifizierung

Über die Daten, die der Service-Provider (SP) vom Identity-Provider (IdP) bekommt, kann der Benutzer auch identifiziert werden und damit z. B. Formulare bereits mit Namen, E-Mail-Adressen etc. (vor)befüllt werden.
Die User werden aber (bei Systemen, die Sie nicht zwingend nutzen müssen, zumindest beim ersten Mal) gefragt, ob Sie damit einverstanden sind, dass der SP diese Daten von unserem IdP erhalten darf.

Unter anderem werden neben Namen etc. auch die Benutzergruppen (der Account-Typ) mitgeliefert, zu denen die angemeldete Personen gehört:

• Bedienstete (BEDIENSTETE:OK)
• Studierende (STUDENTEN:OK)
• Alumni (ALUMNI:OK)
• Basis-Anwender (BASIS:OK)
• Identifizierte Gäste (KNOWNGUEST:OK)
• Gäste (GUEST:OK)

Die SSO-Lösung bildet dann zusammen mit dem IDM (TUGRAZonline und das damit verbundene Active Directory) und diesen Autorisierungen unsere AAI.

Wenn Sie ein Service mit SSO anbieten möchten, dann setzen Sie sich bitte mit uns in Verbindung. Wir brauchen dann zumindest eine Bezeichnung für Ihr Service, die Adresse Ihres Services (wir unterstützen nur https) und außerdem die Adresse, über die man sich bei Ihrem Service abmelden kann (für das Single Log-out).

Beispiele für die Autorisierung

Einige Beispiele, wie eine Autorisierung umgesetzt werden kann, finden sich im Abschnitt Klassifizierung.