Einrichtung und Verwendung von Nutzerdomänen

< Rund um Benutzer | Admin-Dokumentation | Automatisiertes und manuelles Eintragen von Nutzern >

verfügbar ab Stud.IP-Version 1.8.0

1. Grundlagen

Viele Stud.IPs (Zugang über LDAP-Authentifizierung) sind "eigentlich" zu abgeschottet; Gäste und Nutzer anderer Hochschulen kommen - wenn überhaupt erwünscht - nur mit zusätzlichem manuellen Adminstrationsaufwand in das System hinein. Eine generelle Öffnung ist für viele Betreiber keine Option, ebenso kann die Einbindung in eine Authentifizierungslösung, die über die eigene Hochschule hinausgeht, problematisch sein. Denn nicht alle Veranstaltungen sollen für Studierende anderer Hochschulen zugänglich sein und personenbezogene Daten dürfen nicht ohne explizite Zustimmung sichtbar werden.

Gleichzeitig gibt es aber viele Szenarien, in denen externe Nutzer das System nutzen können sollten. Um eine weitere Öffnung einer Stud.IP-Installation zu ermöglichen, steht seit der Version 1.8 das Nutzerdomänenkonzept zur Verfügung. Damit kann ein Nutzer zu einer oder mehrer so genannter "Domänen" gehören, z.B.:

  • Studierende der Uni Osnabrück
  • Studierende der FH Osnabrück
  • Alumni der Uni Osnabrück
  • Gäste

Die Zuordnung eines Nutzers zu einer solchen Domäne kann manuell über die Nutzerverwaltung erfolgen, für den breiteren Einsatz ist allerdings die Zuordnung im Rahmen eines entsprechend konfigurierten AuthPlugins zweckmäßig. Somit werden dann z.B. alle über Shibboleth-Authentifizierung in das System gelangende Nutzer einer entsprechenden Domäne zugewiesen.

Nutzer, die einer Nutzerdomäne zugewiesen sind, können:

  • sich nur in Veranstaltungen eintragen, die für ihre Nutzerdomäne freigegeben sind,
  • nur solche Nutzer sehen (Aufruf persönlicher Homepages, Wer-ist-Online-Liste, Auffinden über Suchfunktion), die der gleichen Domäne angehören oder explizit erklärt haben, für Nutzer aller Domänen sichtbar sein zu wollen.

2. Administration

2.1 Aktivierung

Nutzerdomänen müssen nicht explizit aktiviert werden.

Solange keine Nutzerdomänen eingerichtet sind, verhält sich das System an allen betroffenen Stellen wie vor der Einführung von Nutzerdomänen. Mit Anlegen der ersten Nutzerdomäne werden die erweiterten Möglichkeiten aktiviert.

2.2 Verwaltung von Nutzerdomänen

Nutzerdomänen können von Root in der Nutzerdomänenverwaltung angelegt werden (zu finden unter "globale Einstellungen").

Im Beispiel oben wird eine neue Nutzerdomäne mit dem Namen "Alumni der Universität Osnabrück" angelegt. Jede Nutzerdomäne hat neben dem (möglichst sprechenden) Namen eine interne ID. Interne IDs dürfen nur aus Buchstaben, Ziffern, Unter- und Bindestrichen sowie Punkten bestehen. IDs können nachträglich nicht mehr verändert werden.

Nutzerdomänen können nur gelöscht werden, wenn ihnen keine Nutzer (mehr) zugeordnet sind.

3. Zuordnung von Nutzern zu Nutzerdomänen

3.1 Auswirkungen

Nutzer, die keiner Nutzerdomäne zugeordnet sind, werden anderen gegenüber bevorzugt. Sie haben grundsätzlich Zugang zu allen Veranstaltungen (von Zugangsbeschränkungen abgesehen). Hintergrund dieser Regelung sind zwei Überlegungen. Zum einen sollten vorhandene Stud.IP-Installationen ohne eingerichtete Nutzerdomänen unverändert weiter funktionieren und beim Einrichten einer Domäne nicht alle vorhandenen Accounts modifiziert werden müssen. Zum anderen bedeutet somit keiner Nutzerdomäne zugeordnet: "Der Nutzer ist hier zuhause".

Nutzer, die mindestens einer Nutzerdomäne zugeordnet sind, können sich nur in Veranstaltungen eintragen, die für mindestens eine ihrer Nutzerdomänen freigegeben sind.

3.2 Erweiterte Sichtbarkeitseinstellungen

Um die Nutzersichtbarkeit feiner steuern zu können, ist der zusätzliche Status global eingeführt worden. Nutzer mit diesem Status sind für alle Nutzer aller Domänen sichtbar. Die alten Sichtbarkeitszustände existieren weiterhin, beziehen sich aber nur noch auf Nutzer der eigenen Domäne(n).

Insgesamt gibt es folgende Sichtbarkeitszustände:

SichtbarkeitBedeutungVom Nutzer selbst änderbar?
globalsichtbar für alle Nutzer aller Domänenja
immersichtbar für alle Nutzer der eigenen Domäne(n)nein
jasichtbar für alle Nutzer der eigenen Domäne(n)ja
unknownAbhängig von lokaler Konfigurationja
neinfür keine Nutzer sichtbarja
niefür keine Nutzer sichtbarnein

Wie gehabt sind alle Nutzer für Root immer sichtbar.

3.3 Manuelle Verwaltung der Domänenzugehörigkeit

Die Domänenzugehörigkeit kann analog zur Zuordnung zu Studiengängen bei den Nutzerdaten des betreffenden Nutzers von Admins geändert werden, wenn die dem Nutzer zugeordnete Authentifizierungsmethode dies nicht automatisch übernimmt.

Nutzer können sich selbst keinen Domänen zuweisen und keine Domänenzuordnung entfernen. Sie erhalten über ihre Nutzerdatenverwaltung allerdings Einblick in die Liste der zugeordneten Domänen.

3.4 Automatische Domänenzuweisung mit AuthPlugins

Analog zu den anderen Data-Mappings können AuthPlugins die Domänenzugehörigkeit eines Nutzers bei der Authentifizierung setzen. Dazu ist in dem abgeleiteten AuthPlugin die Methode getUserDomains() zu definieren, die eine Liste von Userdomain-IDs liefert. Ein Beispiel für die Verwendung kann aus dem Shibboleth-AuthPlugin ersehen werden.

4. Zuordnung von Veranstaltungen zu Nutzerdomänen

4.1 Auswirkungen

Alle Nutzer können, unabhängig von Domänenzuordnungen, alle sichtbaren Veranstaltungen finden und ihre Beschreibung/Detailseite einsehen. Nach Nutzerdomänen differenzierte Sichtbarkeitseinstellungen für Veranstaltungen gibt es (bislang) nicht.

Unterschiede ergeben sich lediglich bei der Frage, in welche Veranstaltungen sich Nutzer eintragen können. Bei unpassenden Domäneneinstellungen ist eine Eintragung grundsätzlich nicht möglich, unabhängig von eventuell aktivierten Zugangsbeschränkungen.

Für Veranstaltungen, die keiner Nutzerdomäne zugewiesen sind, können sich (vorbehaltlich anderer Zugangsbeschränkungen) nur Nutzer eintragen, die ebenfalls keiner Nutzerdomäne zugewiesen sind.

In Veranstaltungen, die einer oder mehreren Nutzerdomänen zugewiesen sind, können sich nur Nutzer eintragen, die ebenfalls mindestens einer dieser Nutzerdomänen angehören.

Bei den unverändert vorhandenen Zugangsberechtigungseinstellungen ist es (bislang) nicht möglich, auf Nutzerdomänen Bezug zu nehmen. Denkbar wäre dies z.B. bei der Kontingentierung. Hilfsweise könnte aber die Zuweisung zu (speziellen) Studiengängen ebenfalls vom AuthPlugin übernommen werden.

4.2 Veranstaltungen zuordnen

Die Zuordnung von Veranstaltungen zu Nutzerdomänen ist in der Veranstaltungsadministration unter "Zugangsberechtigungen" vorzunehmen.

In der Regel dürfen Dozenten, Admins und Root der Veranstaltung Nutzerdomänen zuordnen und existierende Zuordnungen ändern. Der Sperrregel-Mechanismus kann Nutzerdomänenzuordnungen berücksichtigen, so dass die Zuordnungsmöglichkeiten für Dozenten und Admins über diesen Mechanismus eingeschränkt werden können.

Bislang ist keine Möglichkeit vorgesehen, die Nutzerdomänenzuordnungen mehrerer Veranstaltungen mit einer einzelnen Aktion vorzunehmen. Automatismen für die Zuordnung sind ebenfalls nicht vorhanden.

5. Anwendungsbeispiel

Szenario: Die Sprachkurse der Universität Osnabrück sollen auch für Studierende der FH Osnabrück zugänglich sein. Die Studierenden der FH sollen sich aber nicht in andere reguläre Veranstaltungen der Universität eintragen können.

Abzuarbeitende Schritte:

  1. Eine Nutzerdomäne definieren, die später den FH-Studierenden zugewiesen wird. Die ID dieser Domäne kann frei gewählt werden.
    (Root => Globale Einstellungen -> Nutzerdomänen -> Anlegen)
  2. Alle betroffenen Veranstaltungen der neuen Nutzerdomäne zuweisen. Bereits im System vorhandene Studierende ohne Nutzerdomäne können sich immer für alle Veranstaltungen anmelden, werden von der Aktion also nicht betroffen.
    (Root/Admin/Dozent => Veranstaltung aufrufen -> Administration der Veranstaltung -> Zugangsberechtigungen -> zugelassene Nutzerdomänen)
  3. Abhängig von der gewünschten Methode, wie die FH-Studierenden an einen Account gelangen:
    1. Ein neues AuthPlugin definieren, über das sich Studierende der FH einloggen können, z.B. durch Direktzugriff auf den zuständigen LDAP-Server. Das AuthPlugin muss als Resultat der Methode getUserDomains() die ID der in Schritt 1 definierten Domäne liefern.
      (Erweiterung der Codebasis notwendig. AuthPlugins liegen unter lib/classes/auth_plugins)
    2. Ein (evtl. abzuleitendes) Shibboleth-AuthPlugin erstellen, mit dessen Hilfe sich die FH-Studierenden über eine Shibboleth-Förderation anmelden können. Das AuthPlugin muss als Resultat der Methode getUserDomains() die ID der in Schritt 1 definierten Domäne liefern.
      (Erweiterung der Codebasis notwendig. AuthPlugins liegen unter lib/classes/auth_plugins)
    3. Falls die Accounts manuell angelegt werden müssen, sind sie direkt nach dem Anlegen der Nutzerdomäne zuzuweisen. Das gilt analog für schon vorhandene Accounts.
      (Root/Admin => globale Einstellungen -> Neuen Nutzer anlegen -> persönliche Homepage -> Nutzerdaten -> Nutzerdomänen)
  4. Falls bislang keine Nutzerdomänen im System genutzt wurden, sollten die Nutzer auf die nun erweiterten Sichtbarkeitseinstellungen hingewiesen werden. Nutzer können nun ihren Sichtbarkeitsstatus auf global ändern und sind damit auch für FH-Studierende sichtbar. Per Default finden und sehen FH-Studierende nur andere FH-Studierende. (Die Sichtbarkeitsregeln in den Veranstaltungen gelten unverändert.)

Zielzustand: Nach Abarbeitung der Schritte können Studierende der FH sich einloggen, alle Veranstaltungen sehen, sich aber nur für die freigegebenen Veranstaltungen anmelden. Weitere Zugangsbeschränkungen und Anmeldeverfahren werden dabei berücksichtigt. Der Datenschutz ist gewährleistet: Sie selbst können unsichtbar werden und sehen die bereits im System vorhandenen Studierenden der Universität nur, wenn diese explizit zugestimmt haben, auch für "Gäste" sichtbar zu sein.

Letzte Änderung am 23.02.2011 11:33 Uhr von tthelen.

 
 
(c) Stud.IP e.V. und die Autoren der Stud.IP-Dokumentation.
Dieser Text ist unter der Lizenz "Creative commons Attribution/Share Alike" verfügbar.