Sammendrag
Autorisasjonsdatacache synkroniserer brukerdata fra feide-ldap til forskjellige sluttsystemer.
Involverte applikasjoner
adc
agora-adc (Ikke lengre i bruk)
agresso-adc
p360-adc
...
Virkemåte
Denne integrasjonen består hovedsakelig av tre komponenter:
- En lesekomponent, som samler i informasjon fra de forskjellige feidlefeide-ldap som står hos institusjonene.
- En cache, som samlinger de samler den aktuelle informasjon informasjonen med dens historiske verdi for å finne ut om en person har blitt forandret
- En komponent for å dele ut informasjon om forandringen
Lesekomponenten leser komplett liste over alle brukere fra lokal LDAP ved hver institusjon. Hver institusjon har gitt oss info om deres LDAP, bruker og passord samt et søke-streng for hvilke ansatte skal plukkes opp. Det er normalt at alle aktive ansatte ved en institusjon omfattes av dette. Denne innlesingen skjer normalt 1 gang pr døgn nærmere kl 5. All brukerinformasjon som plukkes opp, lagres som hash-verdier i en database,
Den andre modulen finner differansen fra forrige innlesing og generere meldinger om endringer. Disse meldingene sendes da til respekrive systemer.
Styring av tilgang
Hvilke brukere skal opprettes ved hvilke systemer bestemmes på 3 2 måter i dag :
- Entitlement settes på brukern i LDAP: Her skal lokal-IT sørge for at brukerne er markert for hver system. F.eks. brukere som har entitlement av denne formen, "urn:mace:feide.no:uninett.no:fas:agresso", vil sendes til Agresso-modulen for oppdatering. Mens de som har denne "urn:mace:feide.no:uninett.no:fas:public360" sendes til Public360
- Alle ansatte : Her vil alle ansatte (spesifisert ved en bestemt søke-streng) få opprettet brukere. Dette er den enkleste. Det er vanlig å la alle ansatte få bruker ved UBW og/eller Public360. Brukeren blir da oprettet med minimum rettigheter.
Velges via Agora : Dette valget vil snart forsvinne, da Agora er på vei ut. Her fikk noen ved institusjonen tilgang til å tildele brukere til et system som UBW eller Public360.
Data elementer
Disse dataelementene leses fra den lokale LDAP'en ved hver institusjon.
cn |
sn |
givenName |
eduPersonPrincipalName |
title |
l |
mobile |
norEduPersonLIN |
postalAddress |
postalCode |
street |
telephoneNumber |
eduPersonEntitlement |
eduPersonOrgDN |
eduPersonOrgUnitDN |
eduPersonPrimaryOrgUnitDN |
Disse leses inn hver natt. Om endringene er mer enn 10%, vil systemet stoppe opp og sende et varsel om dette. Vi (ved Sikt) vil da høre med ansvarlige ved institusjonen om endringene er riktige og i så fall tvinge endringene gjennom.
Systemer som støttes i dag er
- UBW (Agresso)
- Public360
Public360
Denne modulen tar imot endringer fra ADC og utfører dem på Public360.
Her mapping tabellen som viser hvilke elementer oppdateres.
givenName | FirstName | |
sn | LastName | |
mobile | MobilePhone | |
edu_person_title | Title | |
telephoneNumber | PhoneNumber | |
postalAddress, street, postalCode | PostAddress | |
eduPersonPrincipalName | ExternalId | |
telephoneNumber | DirektLine |
Hver institusjon kan velge om nye brukere skal opprettes som aktive brukere eller som deaktiverte.