ServiceProviderManager
Aktueller Hinweis zu abgelaufenen Zertifikaten und Datenänderungen
Gerade in der Einführungsphase des SPMs möchten wir Sie bitten, Änderungen an tiefergehenden Konfigurationsoptionen (EntityAttributes, SPSSODescriptor etc.) nur in Rücksprache mit dem IT-ServiceDesk vorzunehmen. Auch Löschungen von nicht mehr benötigten Serviceprovidern melden Sie bitte übergangsweise noch dem ServiceDesk. Ihre Änderungen werden derzeit nicht direkt, sondern erst nach manueller Freigabe in die Konfiguration des IdentityProviders übernommen.
Der ServiceProviderManager dient der Verwaltung lokaler RWTH-Dienste, die an den IdentityProvider (IdP) der RWTH angeschlossen sind und ihre Nutzenden über RWTH SingleSign-On authentifizieren. Jeder ServiceProvider ist einer Organisation der RWTH zugeordnet, die den Dienst federführend betreibt oder verantwortet. Über den SPM können die jeweiligen Organisationen grundlegende Informationen zu ihren Services selbst pflegen und Einblick in die Konfiguration nehmen.
Der SPM bietet auf seiner Startseite ein öffentliches Verzeichnis aller lokalen an den IdP der RWTH angeschlossenen Services. Darüber hinaus finden Sie alle Services der DFN AAI, für die an der RWTH besondere Attributfreischaltungen existieren. Hier finden Sie insbesondere die Ansprechpersonen, wenn Sie Fragen zur Nutzbarkeit eines Services haben.
Zugriff für Verwalter*innen von ServiceProvidern
Zugriff erhalten Sie über die Rolle "Verwaltung RWTH SSO ServiceProvider" der Organisationseinheit, der der ServiceProvider zugeordnet ist. Die Rolle kann nur von Organisationen vergeben werden, die einen ServiceProvider registriert haben. Sie wird von den Rolleneigner*innen im Rahmen des Registrierungsprozesses freigeschaltet.
Organisationen, die eine große Menge von ServiceProvidern betreiben, haben die Möglichkeit, die Verwaltung der ServiceProvider über die Zuordnung von Gruppen aus der Rollen- und Gruppenverwaltung zu delegieren (Navigation: ServiceProvider Übersicht -> Bearbeiten-Button rechts -> Überschrift Organization / Groups).
Pflege der Daten durch die Verwalter*innen von ServiceProvidern
Wenn Sie sich am SPM angemeldet haben, sehen Sie nur die ServiceProvider der Organisationen, für die Sie entweder die entsprechende Rolle innehaben, oder für die eine Zuordnung zu einer Gruppe existiert, in der Sie Mitglied sind.
Unabhängig davon, ob Sie über eine Rolle oder Gruppe berechtigt sind, haben Sie Zugriff auf alle Bearbeitungsmöglichkeiten des jeweiligen ServiceProviders.
Einige Einträge wie Status, Föderationszugehörigkeit, EntityID und Organisationszuordnung können Sie nicht selbst verändern. Sollte in diesen Daten ein Fehler vorliegen, melden Sie sich bitte beim IT-ServiceDesk.
Beachten Sie bitte:
Zu den meisten Eingabefeldern finden Sie weitergehende Informationen direkt im Eingabeformular des SPM, Klicken Sie auf das blaue Info-"I" hinter dem jeweiligen Eingabefeld.
Die Übernahme der im SPM von Ihnen geänderten Daten in die aktive Konfiguration des IdentityProviders erfolgt nicht automatisch, sondern nach einem manuellen Freigabevorgang.
Zertifikate (KeyDescriptor)
Hier können Sie das SSL-Zertifikat hinterlegen, das die Kommunikation zwischen Ihrem ServiceProvider und dem IdentityProvider der RWTH absichert. Um einen unterbrechungsfreien Betrieb zu ermöglichen, sollten Sie zeitweise ihr altes und neues Zertifikat konfiguriert haben. Siehe hierzu das Thema Zertifikate beim DFN.
Personen mit Gruppenberechtigungen (Groups)
Wenn es an Ihrer Organisation mehrere ServiceProvider gibt, die von unterschiedlichen Personen(gruppen) betreut werden sollen, kann der Inhaber der Rolle "Verwaltung RWTH SSO ServiceProvider" über die Zuordnung von Gruppen aus der IdM Rollen- und Gruppenverwaltung die Verwaltung der Serviceprovider delegieren. In diesem Fall kann es sinnvoll sein, dass der/die Rollenverwalter*in sich selbst die Rolle "Verwaltung RWTH SSO ServiceProvider" gibt und einen oder mehrere der Zuständigen die Verwaltung der Gruppe(n) ermöglicht.
Jedes Gruppenmitlgied kann weitere Gruppen der jweiligen Organisation hinzufügen und so berechtigen, nicht aber die eigene Gruppe entfernen. Dies muss dann ein Mitglied aus einer der anderen (neu) zugeordneten Guppe(n) tun.
Ansprechpersonen (Contact Person)
Hier müssen Sie mindestens einen Kontakt vom Typ "administrative" hinterlegen. Die Kontakte sind Teil der öffentlichen Sicht. Bitte stellen Sie sicher, dass Nutzende Ihres Services Sie über diesen Kontakt erreichen können.
Attributfilter
Hier sehen Sie die für Ihren ServiceProvider freigeschalteten Attribute der Nutzenden aus dem Identity Management.
Bekannte Fehler
Manchmal müssen Sie zweimal auf das Stiftsymbol klicken, um in den Bearbeitungsmodus zu gelangen.
