Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:aai:assurance_idp [2021/12/17 11:52] Wolfgang Pempede:aai:assurance_idp [2024/01/21 13:28] Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== REFEDS Assurance Framework - Identity Provider ====== ====== REFEDS Assurance Framework - Identity Provider ======
 ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]])
- 
-<callout type="danger" title="Work in Progress"> 
-Diese Seite ist noch im Aufbau begriffen! 
-</callout> 
  
 ===== Erste Schritte und Voraussetzungen ===== ===== Erste Schritte und Voraussetzungen =====
-**Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].+**Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].
  
-Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. //Conformance Criteria// erfüllt sein: +Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein: 
-  - The Identity Provider is operated with organizational-level authority +  - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage 
-  - The Identity Provider is trusted enough that it is (or it could beused to access the organization’s own systems +  - **The Identity Provider is trusted enough to be used to access your organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] 
-  - Generally-accepted security practices are applied to the Identity Provider +  - **You publish contact information for your Identity Provider and respond in a timely fashion to operational issues** \\ Kommentar: Diese Punkte sind auch Gegenstand der DFN-AAI-Dienstvereinbarung 
-  - Federation metadata is accurate, complete, and includes at least one of the followingsupporttechnicaladmin, or security contacts +  - **You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates!  
-Ab 1.1.2023 wird die Erfüllung dieser Kriterien eine der Voraussetzungen für die Teilnahme an der DFN-AAI sein. Aktuell gelten hierfür noch die Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse ''Basic'']]. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]].    +  - **You ensure the metadata registered in Federation is complete, accurate and up to date.** \\ KommentarDie VerpflichtungBetriebs- und Kontakt-Informationen aktuell und korrekt zu haltenist vertraglich in der DFN-AAI-Dienstvereinbarung festgelegt  
 +Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]].    
  
 <callout type="danger" title="Beachten Sie bitte auch folgendes:"> <callout type="danger" title="Beachten Sie bitte auch folgendes:">
 **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!**
 </callout> </callout>
 +
 +===== Dienste, die Assurance-Informationen erfordern =====
 +  * [[https://unterrichtsvideos.net/metaportal/|Meta-Videoportal für die Lehrkräftebildung]], siehe auch unter [[de:aai:entity_categories|Entity Categories]]
 +  * [[https://hifis.net/doc/helmholtz-aai/attributes/|Helmholtz AAI]] 
 +  * EuroHPC: LUMI, PUHURI, siehe {{de:aai:letter_for_identity_providers.pdf|Letter for Identity Providers}}
 +  * National Institutes of Health (NIH): https://spaces.at.internet2.edu/display/federation/get-nih-ready
 +
 +Liste der IdPs aus dem HPC-Kontext, die eduPersonAssurance (nicht) übertragen: https://wiki.geant.org/display/MyAccessID/IdP+Status+Report
  
 ===== Konfigurationsbeispiele ===== ===== Konfigurationsbeispiele =====
Zeile 27: Zeile 32:
  
 ==== Föderationsmetadaten ==== ==== Föderationsmetadaten ====
-Stellen Sie sicher, dass der IdP mindestens die Datei dfn-aai-sp-metadata.xml importiert! Ein Konfigurationsbeispiel findet sich unter [[de:production#beispiel_idp|Produktivbetrieb]]. +Stellen Sie sicher, dass der IdP mindestens die Datei [[de:metadata|dfn-aai-sp-metadata.xml]] importiert! Ein Konfigurationsbeispiel findet sich unter [[de:production#beispiel_idp|Produktivbetrieb]]. 
  
 ==== Attributfreigabe ==== ==== Attributfreigabe ====
Zeile 64: Zeile 69:
 </file> </file>
  
-Die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) werden grundsätzlich erfüllt: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen muss und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden.+Falls die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) erfüllt werden: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden.
  
 <file xml ./conf/attribute-resolver.xml> <file xml ./conf/attribute-resolver.xml>
Zeile 83: Zeile 88:
   * bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats   * bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats
   * bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen,    * bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen, 
-  * bei allen anderen Nutzenden ist bereits eine entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist.+  * bei allen anderen Nutzenden ist bereits eine den Vorgaben entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist.
   * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert.   * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert.
 **Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden. **Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden.
Zeile 106: Zeile 111:
 ... ...
 </file> </file>
 +(Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]])
 +
 +\\
  
 Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden:
Zeile 146: Zeile 154:
             <SourceValue caseSensitive="false">university_hospital_staff</SourceValue>             <SourceValue caseSensitive="false">university_hospital_staff</SourceValue>
         </ValueMap>         </ValueMap>
 +    </AttributeDefinition>
 +...
 +</file>
 +(Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]])
 +
 +\\
 +
 +Hier noch ein Beispiel, dass davon ausgeht, dass für alle Mitarbeiter:innen folgendes gilt: "The identity proofing and credential issuance, renewal and replacement are done in a way that qualifies (or would qualify) the user to access the Home Organisation’s internal administrative systems" (z.B. Finanzadministration, Studierendenverwaltung, etc.), so dass für diese User $PREFIX$/IAP/local-enterprise gesetzt werden kann:
 +
 +<file xml ./conf/attribute-resolver.xml>
 +...
 +    <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonAssurance">
 +        <InputAttributeDefinition ref="eduPersonAffiliation" />
 +        <Script><![CDATA[
 +            eduPersonAssurance.getValues().add("https://refeds.org/assurance");
 +            if (eduPersonAffiliation.getValues().contains("staff")) {
 +               eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise");
 +            }
 +        ]]>
 +        </Script>
     </AttributeDefinition>     </AttributeDefinition>
 ... ...
Zeile 154: Zeile 182:
   * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]]   * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]]
   * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]]   * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]]
 +  * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]]
  
 {{tag>assurance}} {{tag>assurance}}
  • Zuletzt geändert: vor 5 Monaten