Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:assurance_idp [2021/12/15 16:18] – Wolfgang Pempe | de:aai:assurance_idp [2023/01/16 19:47] – [Dienste, die Assurance-Informationen erfordern] Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== REFEDS Assurance Framework - Identity Provider ====== | ====== REFEDS Assurance Framework - Identity Provider ====== | ||
([[de: | ([[de: | ||
- | |||
- | <callout type=" | ||
- | Diese Seite ist noch im Aufbau begriffen! | ||
- | </ | ||
===== Erste Schritte und Voraussetzungen ===== | ===== Erste Schritte und Voraussetzungen ===== | ||
**Lesen Sie bitte die [[https:// | **Lesen Sie bitte die [[https:// | ||
- | Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, | + | Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, |
- | - The Identity Provider is operated with organizational-level authority | + | - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage |
- | - The Identity Provider is trusted enough that it is (or it could be) used to access the organization’s own systems | + | - **The Identity Provider is trusted enough that it is (or it could be) used to access the organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de: |
- | - Generally-accepted security practices are applied to the Identity Provider | + | - **Generally-accepted security practices are applied to the Identity Provider** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! |
- | - Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts | + | - **Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts** \\ Kommentar: Die Verpflichtung, |
- | Ab 1.1.2023 wird die Erfüllung dieser Kriterien eine der Voraussetzungen für die Teilnahme an der DFN-AAI | + | Die Erfüllung dieser Kriterien |
<callout type=" | <callout type=" | ||
**Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** | **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** | ||
</ | </ | ||
+ | |||
+ | ===== Dienste, die Assurance-Informationen erfordern ===== | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * EuroHPC: LUMI, PUHURI, siehe {{de: | ||
+ | * National Institutes of Health (NIH): https:// | ||
===== Konfigurationsbeispiele ===== | ===== Konfigurationsbeispiele ===== | ||
Zeile 25: | Zeile 27: | ||
**Bitte recherchieren Sie gründlich, welche Kriterien des REFEDS Assurance Framework seitens Ihrer Heimateinrichtung auf welche Weise und ggf. für welche Nutzendengruppen erfüllt sind. Von dieser Faktenlage ausgehend erstellen Sie bitte eine entsprechend angepasste Attribute Resolver Konfiguration.** | **Bitte recherchieren Sie gründlich, welche Kriterien des REFEDS Assurance Framework seitens Ihrer Heimateinrichtung auf welche Weise und ggf. für welche Nutzendengruppen erfüllt sind. Von dieser Faktenlage ausgehend erstellen Sie bitte eine entsprechend angepasste Attribute Resolver Konfiguration.** | ||
+ | |||
+ | ==== Föderationsmetadaten ==== | ||
+ | Stellen Sie sicher, dass der IdP mindestens die Datei [[de: | ||
==== Attributfreigabe ==== | ==== Attributfreigabe ==== | ||
Zeile 30: | Zeile 35: | ||
==== User Consent ==== | ==== User Consent ==== | ||
- | Um das Attribut [[de: | + | Um das Attribut [[de: |
==== Attribute Resolver ==== | ==== Attribute Resolver ==== | ||
Zeile 61: | Zeile 66: | ||
</ | </ | ||
- | Die Anforderungen bezüglich // | + | Falls die Anforderungen bezüglich // |
<file xml ./ | <file xml ./ | ||
Zeile 80: | Zeile 85: | ||
* bei den Beschäftigten des Universitätsklinikums, | * bei den Beschäftigten des Universitätsklinikums, | ||
* bei frisch immatrikulierten Studierenden, | * bei frisch immatrikulierten Studierenden, | ||
- | * bei allen anderen Nutzenden ist bereits eine entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/ | + | * bei allen anderen Nutzenden ist bereits eine den Vorgaben |
* die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/ | * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/ | ||
**Wichtig: | **Wichtig: | ||
Zeile 103: | Zeile 108: | ||
... | ... | ||
</ | </ | ||
+ | (Shibboleth Wiki: [[https:// | ||
+ | |||
+ | \\ | ||
Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// | Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// | ||
Zeile 146: | Zeile 154: | ||
... | ... | ||
</ | </ | ||
+ | (Shibboleth Wiki: [[https:// | ||
+ | |||
+ | \\ | ||
+ | |||
+ | Hier noch ein Beispiel, dass davon ausgeht, dass für alle Mitarbeiter: | ||
+ | |||
+ | <file xml ./ | ||
+ | ... | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | eduPersonAssurance.getValues().add(" | ||
+ | if (eduPersonAffiliation.getValues().contains(" | ||
+ | | ||
+ | } | ||
+ | ]]> | ||
+ | </ | ||
+ | </ | ||
+ | ... | ||
+ | </ | ||
+ | |||
+ | ===== Materialien ===== | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * Materialien vom [[de: | ||
{{tag> | {{tag> |