Beispiel transienter Föderation
Donna Moores Unternehmen hat einen Vertrag, Büromaterialien an einen Bürokomplex dem örtlichen Unternehmen ITelo zu liefern. Die Mitarbeiter des örtlichen Unternehmens können auf einen Produktkatalog zugreifen und über ITelos Unternehmensportal bestellen. Donna möchte nicht die Benutzerdaten aller Benutzer bei ITelo pflegen. Sie hat mit deren IT-Abteilung vereinbart, dass ihr System ITelos Identity-Provider vertraut. Deren Identity-Provider wird den Föderationstyp Virtuelle Benutzer und transiente Namensbezeichner verwenden und den Namen des Benutzers, die E-Mail-Adresse und die Kostenstelle in die SAML-Antwort einfügen. Donna spart die mit der Pflege der Benutzerdaten verbundenen Kosten ein. Sie muss nur die Daten der Benutzer festhalten, wenn diese Bestellungen abgeben, einschließlich deren Kostenstelle, damit sie weiß, wem sie die Rechnung schicken muss.
Donna kann Bestellungen auf die Benutzer einschränken, die einer Einkäuferfunktion angehören. Der Identity-Provider kann ein Attribut weiterleiten. Auf der Grundlage dieses Attributwerts kann Donna den Service-Provider dazu veranlassen, dem Benutzer Gruppen oder Rollen zuzuordnen, um jede geforderte Berechtigung zur Bestellungsabgabe bereitzustellen. Alle anderen Benutzer können den Katalog nur über die Zuordnung einer Standardrolle für alle transienten Benutzer anzeigen. Außerdem ist es die Aufgabe von ITelos Benutzeradministration zu ermitteln, wer diesen Organisationseinheiten angehört. Donna hat nicht die Gemeinkosten der Pflege dieser Zuordnungen. Sie muss nur mit der ITelo-Organisation zusammenarbeiten, um den Rahmen zu liefern.
Die Abbildung unten zeigt das Anlegen eines transienten Benutzers für Laurent Becker, einem Einkäufer bei ITelo. Nachdem er sich bei seinem Identity-Provider angemeldet hat, wird er zu Donnas Service-Provider umgeleitet. Der Identity-Provider fügt einen transienten Namensbezeichner, eine E-Mail-Adresse, einen Vornamen, einen Nachnamen, eine Kostenstelle und eine Organisationseinheit ein. In diesem Beispiel sind der transiente Namensbezeichner, die E-Mail-Adresse und die Kostenstelle obligatorisch. Außerdem garantiert die Verwendung des Föderationstyps Virtuelle Benutzer , dass der Benutzer auf der User Management Engine (UME) des Service-Providers temporär oder für die Dauer der Session vorhanden ist. Donna kann die Bestellung nicht ohne die E-Mail-Adresse und die zu fakturierende Kostenstelle bearbeiten. Mit dem Benutzernamen kann sie die Anwendung für den Benutzer personalisieren. Mit der Organisationseinheit berechnet sie die Gruppenmitgliedschaft. Laurent gehört Global Purchasing an, also ist er einer Gruppe zugeordnet, die Berechtigungen für die Abgabe von Massenbestellungen hat. Alle transienten Benutzer haben eine Standardrolle, mit der sie ihren Produktkatalog durchsuchen können.
