| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:aai:assurance_idp [2021/12/17 11:52] – Wolfgang Pempe | de:aai:assurance_idp [2024/01/21 13:28] – Wolfgang Pempe |
|---|
| ====== REFEDS Assurance Framework - Identity Provider ====== | ====== REFEDS Assurance Framework - Identity Provider ====== |
| ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) | ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) |
| |
| <callout type="danger" title="Work in Progress"> | |
| Diese Seite ist noch im Aufbau begriffen! | |
| </callout> | |
| |
| ===== Erste Schritte und Voraussetzungen ===== | ===== Erste Schritte und Voraussetzungen ===== |
| **Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. | **Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. |
| |
| Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. //Conformance Criteria// erfüllt sein: | Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein: |
| - The Identity Provider is operated with organizational-level authority | - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage |
| - The Identity Provider is trusted enough that it is (or it could be) used to access the organization’s own systems | - **The Identity Provider is trusted enough to be used to access your organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] |
| - Generally-accepted security practices are applied to the Identity Provider | - **You publish contact information for your Identity Provider and respond in a timely fashion to operational issues** \\ Kommentar: Diese Punkte sind auch Gegenstand der DFN-AAI-Dienstvereinbarung |
| - Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts | - **You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! |
| Ab 1.1.2023 wird die Erfüllung dieser Kriterien eine der Voraussetzungen für die Teilnahme an der DFN-AAI sein. Aktuell gelten hierfür noch die Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse ''Basic'']]. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. | - **You ensure the metadata registered in Federation is complete, accurate and up to date.** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der DFN-AAI-Dienstvereinbarung festgelegt. |
| | Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. |
| |
| <callout type="danger" title="Beachten Sie bitte auch folgendes:"> | <callout type="danger" title="Beachten Sie bitte auch folgendes:"> |
| **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** | **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** |
| </callout> | </callout> |
| | |
| | ===== Dienste, die Assurance-Informationen erfordern ===== |
| | * [[https://unterrichtsvideos.net/metaportal/|Meta-Videoportal für die Lehrkräftebildung]], siehe auch unter [[de:aai:entity_categories|Entity Categories]] |
| | * [[https://hifis.net/doc/helmholtz-aai/attributes/|Helmholtz AAI]] |
| | * EuroHPC: LUMI, PUHURI, siehe {{de:aai:letter_for_identity_providers.pdf|Letter for Identity Providers}} |
| | * National Institutes of Health (NIH): https://spaces.at.internet2.edu/display/federation/get-nih-ready |
| | |
| | Liste der IdPs aus dem HPC-Kontext, die eduPersonAssurance (nicht) übertragen: https://wiki.geant.org/display/MyAccessID/IdP+Status+Report |
| |
| ===== Konfigurationsbeispiele ===== | ===== Konfigurationsbeispiele ===== |
| |
| ==== Föderationsmetadaten ==== | ==== Föderationsmetadaten ==== |
| Stellen Sie sicher, dass der IdP mindestens die Datei dfn-aai-sp-metadata.xml importiert! Ein Konfigurationsbeispiel findet sich unter [[de:production#beispiel_idp|Produktivbetrieb]]. | Stellen Sie sicher, dass der IdP mindestens die Datei [[de:metadata|dfn-aai-sp-metadata.xml]] importiert! Ein Konfigurationsbeispiel findet sich unter [[de:production#beispiel_idp|Produktivbetrieb]]. |
| |
| ==== Attributfreigabe ==== | ==== Attributfreigabe ==== |
| </file> | </file> |
| |
| Die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) werden grundsätzlich erfüllt: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen muss und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden. | Falls die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) erfüllt werden: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden. |
| |
| <file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
| * bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats | * bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats |
| * bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen, | * bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen, |
| * bei allen anderen Nutzenden ist bereits eine entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist. | * bei allen anderen Nutzenden ist bereits eine den Vorgaben entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist. |
| * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert. | * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert. |
| **Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden. | **Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden. |
| ... | ... |
| </file> | </file> |
| | (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]]) |
| | |
| | \\ |
| |
| Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: | Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: |
| <SourceValue caseSensitive="false">university_hospital_staff</SourceValue> | <SourceValue caseSensitive="false">university_hospital_staff</SourceValue> |
| </ValueMap> | </ValueMap> |
| | </AttributeDefinition> |
| | ... |
| | </file> |
| | (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]]) |
| | |
| | \\ |
| | |
| | Hier noch ein Beispiel, dass davon ausgeht, dass für alle Mitarbeiter:innen folgendes gilt: "The identity proofing and credential issuance, renewal and replacement are done in a way that qualifies (or would qualify) the user to access the Home Organisation’s internal administrative systems" (z.B. Finanzadministration, Studierendenverwaltung, etc.), so dass für diese User $PREFIX$/IAP/local-enterprise gesetzt werden kann: |
| | |
| | <file xml ./conf/attribute-resolver.xml> |
| | ... |
| | <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonAssurance"> |
| | <InputAttributeDefinition ref="eduPersonAffiliation" /> |
| | <Script><![CDATA[ |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance"); |
| | if (eduPersonAffiliation.getValues().contains("staff")) { |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise"); |
| | } |
| | ]]> |
| | </Script> |
| </AttributeDefinition> | </AttributeDefinition> |
| ... | ... |
| * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] | * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] |
| * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] | * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] |
| | * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]] |
| |
| {{tag>assurance}} | {{tag>assurance}} |