Einbindung von ORCID-iDs in das zentrale Identitätsmanagement der Universität Münster

Zentrale Nutzer- und Identitätsdatenbank aller Nutzer

Zentrale Rechnerdatenbank aller Netzknoten

Zentrales IT-Selfservice-Portal

Zentrales Forschungsinformationssystem CRIS.WWU

u. v. a. m.
 

Ausführliche Übersicht siehe Vortrag:

• Einführung von GÉANT-TCS-Zertifikaten an der Universität Münster

Gewünscht:

• Bei Anmeldung im internationalen Single-Sign-On (DFN-AAI, eduGAIN) die ORCID-iD übermitteln

Übermittelt werden dürfen aber nur geprüfte Angaben (DFN-AAI-Verlässlichkeitsklasse Advanced)
 

Also:

• Tabelle mit Spalten WWU-ID und ORCID-iD zur Nutzerdatenbank hinzufügen (pro Person eine iD)

  • (CRIS.WWU kennt nicht alle Nutzer, ist daher als Speicherort für diesen Zweck unbrauchbar)

• Weiteres IT-Portal-Modul entwickeln, mit dem jeder Nutzer seine ORCID-iD verwalten kann

• Dabei die Richtigkeit der iD von ORCID bestätigen lassen

  • ORCID bietet passende Schnittstelle mit OAuth Implicit Authentication an

• So eingetragene ORCID-iDs in Shibboleth-IdP und weitere LDAP-Server eintragen

Der bereits im IT-Portal angemeldete Nutzer klickt dort auf einen Button/Link:

• https://orcid.org/oauth/authorize
  ?client_id=APP-XXXXXXXXXXXXXXXX&response_type=token&scope=openid
  &redirect_uri=https://sso.uni-muenster.de/IT-Portal/orcidredirect/

Der Nutzer muss sich bei ORCID mit seiner ORCID-iD und seinem ORCID-Passwort anmelden

Der Nutzer wird von ORCID zu oben angegebener Redirect-URI (in unserem SSO) umgeleitet

Als Query-String werden ID-Token (mit allen Infos) und Access-Token beigefügt

Das hinter der Redirect-URI steckende Skript prüft alle Angaben

Wenn alles stimmt, wird die ORCID-iD in der Datenbank eingetragen

Der Nutzer wird ins eigentliche IT-Portal zurück umgeleitet und erhält die Erfolgsmeldung

Ein anderer Button erlaubt das Löschen der gespeicherten ORCID-iD

Obwohl ich persönlich kein Interesse an einer ORCID-iD habe, musste ich mir eine zuteilen lassen und der weltweiten Veröffentlichung zustimmen.

Selbst eine einfache ORCID-iD-ist-richtig-Prüfung mit der Public API erlaubt ORCID nur nach Registrierung.

Man muss jede einzelne Anwendung ziemlich umständlich und mit ausführlicher Projektbeschreibung bei ORCID registrieren und mehrfache Nachfragen beantworten.

Man muss einen strikten Styleguide einhalten: Die ID heißt ORCID-iD, nicht ORCID! Logopflicht!

ORCID verlangt schon während der Entwicklung und erneut nach Fertigstellung der Anwendung einen Demo-Zugang oder zumindest ausführliche Screenshots und Beschreibungen.

Die Client-Credentials sind mit meiner persönlichen ORCID-iD verknüpft.
Was passiert, wenn ich ausscheide und/oder meine ORCID-iD löschen lasse?
 

Siehe https://info.orcid.org/documentation/integration-guide/getting-started-with-your-orcid-integration/

Implementierungsaufwand: Etliche Stunden

Zeitaufwand: Ein ganzer Monat

Grund: Andauerndes Hin und Her und Warten zwischen drei Stellen der Universität und ORCID
 

ORCID verlangt verdammt viel nur für die Kontrolle, dass ein Nutzer tatsächlich Besitzer einer ORCID-iD ist
 

Disclaimer: Ich habe das vor fast einem Jahr realisiert und erinnere mich nicht mehr an jedes Detail

CRIS.WWU hatte bislang eine eigene Möglichkeit zur Eintragung der ORCID-iD,
übernimmt aber zukünftig die ORCID-iD aus der Nutzerdatenbank

Rainer Perske
perske@uni-muenster.de
+49 251 83 31582
https://perske.net

https://orcid.org/0000-0002-8415-9902 (leer)
 

Westfälische Wilhelms-Universität
WWU IT
Röntgenstraße 7–13
48149 Münster
it@uni-muenster.de
https://www.uni-muenster.de/IT/