Elsevier 正在将 eduGAIN 中其 SP 元数据进行标准化
上次更新时间 2025年12月11日
Elsevier 实现对基于 SAML 的身份验证的支持已近二十年,成为首批加入英国身份联盟的服务提供商之一。从那时起,我们已经为 50 多个国家/地区的 2,000 多个客户提供此类型的访问权限,支持其以可扩展、安全和用户友好的方式访问 Elsevier 产品和服务。
在引入 eduGAIN 之前,协商和配置是特定于联盟的,会因情况而有所不同。随着时间推移,它们与标准渐趋一致,进而提升了可扩展性和互操作性。
我们现在正在进一步发展新式身份验证基础结构,它将提供:
- eduGAIN 中统一权威的 SP 元数据集
- 提升的用户体验
- 优化的资料库访问控制
- 增强的安全性和 SIRTFY 合规性
我们的目标是创建这样一个环境:用户只需要登录一次,就能一键访问其所属机构订阅的所有服务,以及自己可能感兴趣的任何其他服务。
此外,客户 IdP 的配置和说明以及我们提供的支持都应做到易于理解和获取。
鉴于我们提供大量的产品和服务并拥有众多的现有客户和用户,这涉及了诸多不断变化、需要分阶段协调一致的环节。
我们正在更新 SP 元数据以实现所有联盟之间的一致性,并最终在 eduGAIN 中形成一套权威的元数据。
具体而言,我们正在:
- 在元数据中添加必需的属性元素,之前这些元素是可选的或缺少的
- 在更新之前直接与 IdP 操作员传达和沟通这些更改
Elsevier SP 是一种可用于管理多种不同产品的 SAML 身份验证的代理。这使用户能够通过一次身份验证便可使用其机构或个人帐户访问其所有权利。
- 对于大多数产品(ScienceDirect、Scopus、EngineeringVillage 等),个人帐户不是必需的
- 对于其他产品(Mendeley、SciVal、ClinicalKey Student 等),个人帐户是必需的
用户仍然可以匿名访问 ScienceDirect 等产品上的内容,即使其 IdP 释放了伪匿名属性。
大多数 IdP 都发布了 [必需属性],其用户几乎不会遇到访问方面的问题,我们也很少收到滥用情况的反馈。
但一些 IdP 未发布这些属性,需要在元数据中明确提出请求才能获取,而这正是我们目前正在解决的问题。
伪匿名属性:
当用户通过 IdP 进行身份验证并在我们这里创建帐户时,我们会将一个伪匿名属性与其帐户关联,以便在用户回访时能够识别。若相关用户未进行注册,我们会弃用该伪匿名属性。
唯一的例外情况是出于安全考虑:当检测到疑似爬取行为时,我们能够将其与伪匿名属性关联,并阻止相关用户的访问。随后,我们会将可能存在安全风险的凭证报告给 IdP。(SIRTFI 合规性)
授权属性:
这使我们能够仅向有权访问的用户授予权限,而 IdP 则负责决定哪些用户或用户群组拥有相应权限。然而,为了使该属性发挥作用,IdP 和 Elsevier 需要就该属性的值达成一致。
缺少伪匿名属性:
用户可能会遇到登录循环问题或在创建个人帐户户时遇到困难,由于拥有两种不同凭证以及凭证的各种使用方式,这往往会让他们产生混淆。
现在我们会向用户显示一条消息,并在适用情况下为其提供备选访问选项。
缺少授权属性:
当我们在系统端配置了某个特定值后,不符合该值的用户将无法获得访问权限,不过他们仍可以来宾用户的身份访问许多服务。
如果 IdP 更倾向于使用限定作用域的隶属关系来实现此目的,也可以达到相同的效果。
遇到访问或个性化设置问题的用户会联系我们的客户支持团队或其资料库,再由资料库以用户名义与我们取得联系。
然而,由于问题的根源隐藏在加密的 SAML 声明中,而该声明未被保留,且即便保留了,出于设计考量,人工也无法对其进行解密,因此各方在诊断问题时都面临重重困难。
为解决此问题,我们推出了一个新界面,用于提前通知用户潜在的身份验证问题,并在可能的情况下为其提供备选访问路径。
对于那些访问过程顺利的用户,则不会显示相关界面,他们会直接获得访问权限。
您的问题是否得到了解答?
相关解答
最近查看过的答案
由于您的 Cookie 偏好设置,该功能已禁用