Einbindung von ORCID-iDs in das zentrale Identitätsmanagement der Universität Münster

Rainer Perske

ca. 10 Min.

Diese Datei mit dem Browser öffnen:
https://www.uni-muenster.de/IT.RainerPerske/2022-11-24.EinfuehrungORCID.html

Situation

• Zentrale Nutzer- und Identitätsdatenbank aller Nutzer

• Zentrale Rechnerdatenbank aller Netzknoten

• Zentrales IT-Selfservice-Portal

• Zentrales Forschungsinformationssystem CRIS.WWU

• u. v. a. m.
   

• Ausführliche Übersicht siehe Vortrag:

  • Einführung von GÉANT-TCS-Zertifikaten an der Universität Münster

Überlegung

• Gewünscht:

  • Bei Anmeldung im internationalen Single-Sign-On (DFN-AAI, eduGAIN) die ORCID-iD übermitteln

• Übermittelt werden dürfen aber nur geprüfte Angaben (DFN-AAI-Verlässlichkeitsklasse Advanced)
   

• Also:

  • Tabelle mit Spalten WWU-ID und ORCID-iD zur Nutzerdatenbank hinzufügen (pro Person eine iD)

    • (CRIS.WWU kennt nicht alle Nutzer, ist daher als Speicherort für diesen Zweck unbrauchbar)

  • Weiteres IT-Portal-Modul entwickeln, mit dem jeder Nutzer seine ORCID-iD verwalten kann

  • Dabei die Richtigkeit der iD von ORCID bestätigen lassen

    • ORCID bietet passende Schnittstelle mit OAuth Implicit Authentication an

  • So eingetragene ORCID-iDs in Shibboleth-IdP und weitere LDAP-Server eintragen

Funktionsweise

• Der bereits im IT-Portal angemeldete Nutzer klickt dort auf einen Button/Link:

  • https://orcid.org/oauth/authorize
    ?client_id=APP-XXXXXXXXXXXXXXXX&response_type=token&scope=openid
    &redirect_uri=https://sso.uni-muenster.de/IT-Portal/orcidredirect/

• Der Nutzer muss sich bei ORCID mit seiner ORCID-iD und seinem ORCID-Passwort anmelden

• Der Nutzer wird von ORCID zu oben angegebener Redirect-URI (in unserem SSO) umgeleitet

• Als Query-String werden ID-Token (mit allen Infos) und Access-Token beigefügt

• Das hinter der Redirect-URI steckende Skript prüft alle Angaben

• Wenn alles stimmt, wird die ORCID-iD in der Datenbank eingetragen

• Der Nutzer wird ins eigentliche IT-Portal zurück umgeleitet und erhält die Erfolgsmeldung

• Ein anderer Button erlaubt das Löschen der gespeicherten ORCID-iD

Ärgernisse

• Obwohl ich persönlich kein Interesse an einer ORCID-iD habe, musste ich mir eine zuteilen lassen und der weltweiten Veröffentlichung zustimmen.

• Selbst eine einfache ORCID-iD-ist-richtig-Prüfung mit der Public API erlaubt ORCID nur nach Registrierung.

• Man muss jede einzelne Anwendung ziemlich umständlich und mit ausführlicher Projektbeschreibung bei ORCID registrieren und mehrfache Nachfragen beantworten.

• Man muss einen strikten Styleguide einhalten: Die ID heißt ORCID-iD, nicht ORCID! Logopflicht!

• ORCID verlangt schon während der Entwicklung und erneut nach Fertigstellung der Anwendung einen Demo-Zugang oder zumindest ausführliche Screenshots und Beschreibungen.

• Die Client-Credentials sind mit meiner persönlichen ORCID-iD verknüpft.
  Was passiert, wenn ich ausscheide und/oder meine ORCID-iD löschen lasse?
   

• Siehe https://info.orcid.org/documentation/integration-guide/getting-started-with-your-orcid-integration/

Fazit

• Implementierungsaufwand: Etliche Stunden

• Zeitaufwand: Ein ganzer Monat

• Grund: Andauerndes Hin und Her und Warten zwischen drei Stellen der Universität und ORCID
   

• ORCID verlangt verdammt viel nur für die Kontrolle, dass ein Nutzer tatsächlich Besitzer einer ORCID-iD ist
   

• Disclaimer: Ich habe das vor fast einem Jahr realisiert und erinnere mich nicht mehr an jedes Detail

Ausblick

• CRIS.WWU hatte bislang eine eigene Möglichkeit zur Eintragung der ORCID-iD,
  übernimmt aber zukünftig die ORCID-iD aus der Nutzerdatenbank

Vielen Dank

• Rainer Perske
  perske@uni-muenster.de
  +49 251 83 31582
  https://perske.net

  https://orcid.org/0000-0002-8415-9902 (leer)
   

• Westfälische Wilhelms-Universität
  WWU IT
  Röntgenstraße 7–13
  48149 Münster
  it@uni-muenster.de
  https://www.uni-muenster.de/IT/