ServiceProviderManager
Aktueller Hinweis zu abgelaufenen Zertifikaten und Datenänderungen
Gerade in der Einführungsphase des SPMs möchten wir Sie bitten, Änderungen an tiefergehenden Konfigurationsoptionen (EntityAttributes, SPSSODescriptor etc.) nur in Rücksprache mit dem IT-ServiceDesk vorzunehmen. Auch Löschungen von nicht mehr benötigten Serviceprovidern melden Sie bitte übergangsweise noch dem ServiceDesk. Ihre Änderungen werden derzeit nicht direkt, sondern erst nach manueller Freigabe in die Konfiguration des IdentityProviders übernommen.
Der ServiceProviderManager (SPM) dient der Verwaltung lokaler RWTH-Dienste, die an den IdentityProvider (IdP) der RWTH angeschlossen sind und ihre Nutzenden über RWTH SingleSign-On authentifizieren. Jeder ServiceProvider ist einer Organisation der RWTH zugeordnet, die den Dienst federführend betreibt oder verantwortet. Über den SPM können die jeweiligen Organisationen grundlegende Informationen zu ihren Services selbst pflegen und Einblick in die Konfiguration nehmen. Der SPM richtet sich also nicht nur an IT-Administratoren, sondern auch an organisatorisch bzw. fachlich Zusändige.
Der SPM bietet auf seiner Startseite ein öffentliches Verzeichnis aller lokalen an den IdP der RWTH angeschlossenen Services. Darüber hinaus finden Sie alle Services der DFN AAI, für die an der RWTH besondere Attributfreischaltungen existieren. Hier finden Sie insbesondere die Ansprechpersonen, wenn Sie Fragen zur Nutzbarkeit eines Services haben.
Übersicht (Startseite)
Service
Jeder ServiceProvider muss einen aussagekräftigen Servicenamen haben. Die Servicenamen werden von den Ansprechpartnern der Organisation(en) festgelegt, denen der ServiceProvider zugeordnet ist.
Beschreibung
Jeder ServiceProvider muss eine aussagekräftige Beschreibung enthalten. Sie dient den Nutzenden dazu, sich eine Übersicht zu verschaffen, ob der Service für sie relevant ist.
Angeforderte Attribute
Hier sehen Sie die technischen Namen der Attribute, die für den ServiceProvider freigegeben sind und zu Nuztenden an den Service übertragen werden, sobald diese sich am Service anmelden. Näheres erfahren Sie unter Erklärung der Attribute.
EntityId
Die EntityID ist der eindeutige Identifier eines Services. Dieser ist insbesondere bei Anfragen zum Service anzugeben, damit eine eindeutige Zuordnung erfolgen kann.
Organisation
Hier ist die Organisation zugeordnet, die für deb ServiceProvider
Kontakt
Jeder ServiceProvider muss mindestens einen administrativen Kontakt haben, an den sich insbesondere Nutzende wenden können, wenn sie Fragen zum Service haben und über den betriebsrelevante Informationen z. B. über erforderliche Änderungen an der Konfiguration und andere technische Fragen geklärt werden können.
Zugriff für Verwalter*innen von ServiceProvidern
Zugriff zur Verwaltung der ServiceProvider erhalten Sie über die Rolle "Verwaltung RWTH SSO ServiceProvider" der Organisationseinheit, der der ServiceProvider zugeordnet ist. Die Rolle kann nur von Organisationen vergeben werden, die einen ServiceProvider registriert haben. Sie wird von den Rolleneigner*innen im Rahmen des Registrierungsprozesses freigeschaltet.
Als Verwalter*in (über Rolle oder Gruppe) können Sie sich oben rechts über den Login-Button einloggen, um die Verwaltungsfunktionen benutzen.
Organisationen, die eine große Menge von ServiceProvidern betreiben, haben die Möglichkeit, die Verwaltung der ServiceProvider über die Zuordnung von Gruppen aus der Rollen- und Gruppenverwaltung zu delegieren, siehe dazu weiter unten "Personen mit Gruppenberechtigungen"
Pflege der Daten durch die Verwalter*innen von ServiceProvidern
Wenn Sie sich am SPM angemeldet haben, sehen Sie nur die ServiceProvider der Organisationen, für die Sie entweder die entsprechende Rolle innehaben, oder für die eine Zuordnung zu einer Gruppe existiert, in der Sie Mitglied sind.
Unabhängig davon, ob Sie über eine Rolle oder Gruppe berechtigt sind, haben Sie Zugriff auf alle Bearbeitungsmöglichkeiten des jeweiligen ServiceProviders.
Einige Einträge wie Status, Föderationszugehörigkeit, EntityID und Organisationszuordnung können Sie nicht selbst verändern. Sollte in diesen Daten ein Fehler vorliegen, melden Sie sich bitte beim IT-ServiceDesk.
Beachten Sie bitte:
Zu den meisten Eingabefeldern finden Sie weitergehende Informationen direkt im Eingabeformular des SPM, Klicken Sie auf das blaue Info-"I" hinter dem jeweiligen Eingabefeld.
Die Übernahme der im SPM von Ihnen geänderten Daten in die aktive Konfiguration des IdentityProviders erfolgt nicht automatisch, sondern nach einem manuellen Freigabevorgang.
Zertifikate (KeyDescriptor)
Hier können Sie das SSL-Zertifikat hinterlegen, das die Kommunikation zwischen Ihrem ServiceProvider und dem IdentityProvider der RWTH absichert. Um einen unterbrechungsfreien Betrieb zu ermöglichen, sollten Sie zeitweise ihr altes und neues Zertifikat konfiguriert haben. Siehe hierzu das Thema Zertifikate beim DFN.
Personen mit Gruppenberechtigungen (Groups)
Wenn es an Ihrer Organisation mehrere ServiceProvider gibt, die von unterschiedlichen Personen(gruppen) betreut werden sollen, kann der Inhaber der Rolle "Verwaltung RWTH SSO ServiceProvider" über die Zuordnung von Gruppen aus der IdM Rollen- und Gruppenverwaltung die Verwaltung der Serviceprovider delegieren.
In diesem Fall kann es sinnvoll sein, dass der/die Rollenverwalter*in sich selbst die Rolle "Verwaltung RWTH SSO ServiceProvider" gibt und einen oder mehrere der Zuständigen die Verwaltung der Gruppe(n) ermöglicht. Die Delegation über Gruppen ist nur für Einrichtungen mit mehreren ServiceProvidern interessant und auch nur dann, wenn bestimmte Personen(Gruppen) nur einzelne dieser Services verwalten sollen. Es reicht daher entweder die Mitgliedschaft in einer Gruppe, oder die Rolle aus, um Zugriff auf einen ServiceProvider zu haben. Bezüglich der Berechtigungen an diesen konkreten ServiceProvider wird hier kein Unterschied gemacht. Inhaber der Rolle "Verwaltung RWTH SSO ServiceProvider" haben immer Zugriff auf alle ServiceProvider.
Sie ordnen einem ServiceProvider eine Gruppe zu, indem Sie wie folgt navigieren: Menü ServiceProvider Übersicht -> Bearbeiten-Button rechts -> Überschrift Organization / Groups.
Beachten Sie bitte: Sie können nur zuvor in der IdM Rollen- und Gruppenverwaltung angelegte Gruppen zuordnen. Neu angelegte Gruppen sind erst nach einem Abgleich (ca. 5-20 Min. später) im SPM verfügbar.
Jedes Gruppenmitlgied kann weitere Gruppen der jweiligen Organisation hinzufügen und so berechtigen, nicht aber die eigene Gruppe entfernen. Dies muss dann ein Mitglied aus einer der anderen (neu) zugeordneten Guppe(n) tun.
Ansprechpersonen (Contact Person)
Hier müssen Sie mindestens einen Kontakt vom Typ "administrative" hinterlegen. Die Kontakte sind Teil der öffentlichen Sicht. Bitte stellen Sie sicher, dass Nutzende Ihres Services (bzw. des von Ihnen betreuten Services) Sie über diesen Kontakt erreichen und fachlich-inhaltliche Fragen stellen können.
Sie können hier beliebige Kontakte eintragen und dann zuordnen (über die Schaltfläche "Kontakt in der Datenbank hinzufügen"). Dies ist insbesondere erforderlich, da viele ServiceProvider hier eher Funktionsadressen verwenden.
Aus der Zuordnung von Kontakten erwachsen keine Berechtigungen.
Initial wurden die eingetragenen Kontakte durch das IT Center verwendet, um Mailings im Zusammenhang mit der Einführung des SPM durchzuführen. Künftig wird das IT Center sich aber ausschließlich an die Rolleninhaber bzw. Gruppenmitglieder wenden.
Attributfilter
Hier sehen Sie die für Ihren ServiceProvider freigeschalteten Attribute der Nutzenden aus dem Identity Management.
Bekannte Fehler
Manchmal müssen Sie zweimal auf das Stiftsymbol klicken, um in den Bearbeitungsmodus zu gelangen.
