Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

Sammendrag

Autorisasjonsdatacache synkroniserer brukerdata fra feide-ldap til forskjellige sluttsystemer.

Involverte applikasjoner

adc

agora-adc

agresso-adc

p360-adc

Virkemåte

Denne integrasjonen består hovedsakelig av tre komponenter:

  • En lesekomponent, som samler i informasjon fra de forskjellige feide-ldap som står hos institusjonene.
  • En cache, som samler den aktuelle informasjonen med dens historiske verdi for å finne ut om en person har blitt forandret
  • En komponent for å dele ut informasjon om forandringen

Lesekomponenten leser komplett liste over alle brukere fra lokal LDAP ved hver institusjon. Hver institusjon har gitt oss info om deres LDAP, bruker og passord samt et søke-streng for hvilke ansatte skal plukkes opp. Det er normalt at alle aktive ansatte ved en institusjon omfattes av dette. Denne innlesingen skjer normalt 1 gang pr døgn nærmere kl 5. All brukerinformasjon som plukkes opp, lagres som hash-verdier i en database,

Den andre modulen finner differansen fra forrige innlesing og generere meldinger om endringer. Disse meldingene sendes da til respekrive systemer.

Styring av tilgang

Hvilke brukere skal opprettes ved hvilke systemer bestemmes på 3 måter i dag :

  1. Entitlement settes på brukern i LDAP: Her lokal-IT sørge for at brukerne er markert for hver system. F.eks. brukere som har entitlement av denne formen, "urn:mace:feide.no:uninett.no:fas:agresso", vil sendes til Agresso-modulen for oppdatering. Mens de som har denne "urn:mace:feide.no:uninett.no:fas:public360" sendes til Public360
  2. Alle ansatte : Her markerer man ved modulen at den skal ta imot alle brukere den mottar. Dette er en enkleste. Det er vanlig å la alle ansatte få bruker ved UBW og/eller Public360. Brukeren blir da oprettet med minimum rettigheter.
  3. Velges via Agora : Dette valget vil snart forsvinne, da Agora er på vei ut. Her fikk noen ved institusjonen tilgang til å tildele brukere til et system som UBW eller Public360.

Data elementer

Disse dataelementene leses fra den lokale LDAP'en ved hver institusjon.

cn

sn

givenName

eduPersonPrincipalName

title

mail

l

mobile

norEduPersonLIN

postalAddress

postalCode

street

telephoneNumber

eduPersonEntitlement

eduPersonOrgDN

eduPersonOrgUnitDN

eduPersonPrimaryOrgUnitDN

Disse leses inn hver natt. Om endringene er mer enn 10%, vil systemet stoppe opp og sende et varsel om dette. Vi (ved Unit) vil da høre med ansvarlige ved institusjonen om endringene er riktige og i så fall tvinge endringene gjennom.


Systemer som støttes i dag er

  • UBW (Agresso)
  • Public360



  • No labels