Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Sammendrag

Autorisasjonsdatacache synkroniserer brukerdata fra feide-ldap til forskjellige sluttsystemer.

Image Added

Involverte applikasjoner

adc

agora-adc (Ikke lengre i bruk)

agresso-adc

p360-adc

...

Virkemåte

Denne integrasjonen består hovedsakelig av tre komponenter:

  • En lesekomponent, som samler i informasjon fra de forskjellige feidlefeide-ldap som står hos institusjonene.
  • En cache, som samlinger de samler den aktuelle informasjon informasjonen med dens historiske verdi for å finne ut om en person har blitt forandret
  • En komponent for å dele ut informasjon om forandringen

Lesekomponenten leser komplett liste over alle brukere fra lokal LDAP ved hver institusjon. Hver institusjon har gitt oss info om deres LDAP, bruker og passord samt et søke-streng for hvilke ansatte skal plukkes opp. Det er normalt at alle aktive ansatte ved en institusjon omfattes av dette. Denne innlesingen skjer normalt 1 gang pr døgn nærmere kl 5. All brukerinformasjon som plukkes opp, lagres som hash-verdier i en database,

Den andre modulen finner differansen fra forrige innlesing og generere meldinger om endringer. Disse meldingene sendes da til respekrive systemer.

Styring av tilgang

Hvilke brukere skal opprettes ved hvilke systemer bestemmes på 3 2 måter i dag :

  1. Entitlement settes på brukern i LDAP: Her skal lokal-IT sørge for at brukerne er markert for hver system. F.eks. brukere som har entitlement av denne formen, "urn:mace:feide.no:uninett.no:fas:agresso", vil sendes til Agresso-modulen for oppdatering. Mens de som har denne "urn:mace:feide.no:uninett.no:fas:public360" sendes til Public360
  2. Alle ansatte : Her vil alle ansatte (spesifisert ved en bestemt søke-streng) få opprettet brukere. Dette er den enkleste. Det er vanlig å la alle ansatte få bruker ved UBW og/eller Public360. Brukeren blir da oprettet med minimum rettigheter.
  3. Velges via Agora : Dette valget vil snart forsvinne, da Agora er på vei ut. Her fikk noen ved institusjonen tilgang til å tildele brukere til et system som UBW eller Public360.

Data elementer

Disse dataelementene leses fra den lokale LDAP'en ved hver institusjon.

cn

sn

givenName

eduPersonPrincipalName

title

mail

l

mobile

norEduPersonLIN

postalAddress

postalCode

street

telephoneNumber

eduPersonEntitlement

eduPersonOrgDN

eduPersonOrgUnitDN

eduPersonPrimaryOrgUnitDN

Disse leses inn hver natt. Om endringene er mer enn 10%, vil systemet stoppe opp og sende et varsel om dette. Vi (ved Sikt) vil da høre med ansvarlige ved institusjonen om endringene er riktige og i så fall tvinge endringene gjennom.


Systemer som støttes i dag er

  • UBW (Agresso)
  • Public360


Public360

Denne modulen tar imot endringer fra ADC og utfører dem på Public360.

Her mapping tabellen som viser hvilke elementer oppdateres.


LDAP

Public360


givenName

FirstName


sn

LastName


mobile

MobilePhone


edu_person_title

Title


telephoneNumber

PhoneNumber


mail

Email


postalAddress, street, postalCode

PostAddress


eduPersonPrincipalName

ExternalId


telephoneNumber

DirektLine



Hver institusjon kan velge om nye brukere skal opprettes som aktive brukere eller som deaktiverte.