===== ELIXIR und Life Science AAI =====
(zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht Attributfreigaben]])

ELIXIR ist eine Forschungsinfrastruktur für Daten aus dem Bereich Life Science (v.a. Genom-Datenbanken). Weiterführende Informationen finden sich auf der Homepage des Projekts unter http://www.elixir-europe.org/ und in dem {{wiki:letter_to_encourage_idps_to_release_attributes_to_elixir.pdf|hier verlinkten Anschreiben}}.

Der Zugang zu den ELIXIR Diensten erfolgt über einen SP Proxy (Entity ID: https://login.elixir-czech.org/proxy/), der über [[https://www.aai.dfn.de/teilnahme/interfederation/|eduGAIN]] verfügbar ist. 

Benötigte Attribute (+ NameID):

  * Persistent NameID / eduPersonPrincipalName / eduPersonTargetedID
  * eduPersonAffiliation / eduPersonScopedAffiliation (von besonderer Relevanz ist der Wert "faculty")
  * schacHomeOrganization

Dieser Service Provider (und die dahinter liegenden Dienste) verpflichtet sich dem //GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA// (siehe oben). Falls hierfür bereits eine Filter Policy nach dem angeführten Beispiel implementiert ist, sollte der Zugriff auf die ELIXIR Dienste ohne zusätzliche Maßnahmen funktionieren.

Ob alle benötigten Angaben übertragen werden, lässt sich anhand dieses //Attribute Checks// überprüfen:

https://perun.elixir-czech.cz/attribute-check/

Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]):

<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
<AttributeFilterPolicy id="elixir">
   <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />
   <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
   <!-- nur wenn keine Persistent NameID üertragen wird -->
   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
</AttributeFilterPolicy>
</file>

<callout type="danger" title="Achtung! Am 11.4.2022 wird ELIXIR Bestandteil der Life Science AAI!">
Damit ändert sich folgendes:
  * Die **Entity ID** des Service Providers: \\  https://login.elixir-czech.org/proxy/ --> **https://proxy.aai.lifescience-ri.eu/metadata/backend.xml**
  * Die **Attributanforderungen**, vgl. die [[https://lifescience-ri.eu/ls-login/life-science-login-attribute-requirements.html|Online-Doku der Life Science AAI]]
    * Identifier 
    * eduPersonScopedAffiliation
    * eduPersonAssurance (noch optional, für Konfigurationsbeispiele siehe unter [[de:aai:assurance_idp|REFEDS Assurance Framework]])
    * displayName/cn/sn+givenName (optional, aber von vielen Einzeldiensten benötigt)
    * mail (optional, aber von vielen Einzeldiensten benötigt)
</callout>

=== Weitere Infos zur Life Science AAI ===
  * [[https://lifescience-ri.eu/home.html|Homepage]]
  * [[https://lifescience-ri.eu/aai/ArchiveDocs/HO/signed-Letter_to_encourage_IdPs_to_release_attributes.pdf|Anschreiben mit allen relevanten Informationen]]
  * [[https://lifescience-ri.eu/ls-login/privacy-notice-for-life-science-login.html|Datenschutzerklärung]] 
  * [[https://attributes.aai.lifescience-ri.eu/attributes/module.php/attribute_check/attribute_check.php|Attribute Release Check]]
  * Kontakt für Rückfragen und Support: support@aai.lifescience-ri.eu

**Unverbindliches Beispiel für eine Attribute Filter Policy**
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
<AttributeFilterPolicy id="life_science_aai">
   <PolicyRequirementRule xsi:type="Requester" value="https://proxy.aai.lifescience-ri.eu/metadata/backend.xml" />
   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
   <AttributeRule attributeID="samlPairwiseID" permitAny="true"/>
   <!-- optional, aber von vielen Einzeldiensten benötigt:-->
   <AttributeRule attributeID="displayName" permitAny="true"/>
   <AttributeRule attributeID="mail" permitAny="true"/>
   <!-- sollte grundsätzlich an jeden SP übertragen werden:-->
   <AttributeRule attributeID="eduPersonAssurance" permitAny="true"/>
</AttributeFilterPolicy>
</file>


{{tag>idp4 attributfreigabe}}