Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:aai:assurance_idp [2021/12/17 11:52] – [Föderationsmetadaten] Wolfgang Pempe | de:aai:assurance_idp [2024/01/21 13:28] – Wolfgang Pempe |
---|
====== REFEDS Assurance Framework - Identity Provider ====== | ====== REFEDS Assurance Framework - Identity Provider ====== |
([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) | ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) |
| |
<callout type="danger" title="Work in Progress"> | |
Diese Seite ist noch im Aufbau begriffen! | |
</callout> | |
| |
===== Erste Schritte und Voraussetzungen ===== | ===== Erste Schritte und Voraussetzungen ===== |
**Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. | **Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. |
| |
Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. //Conformance Criteria// erfüllt sein: | Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein: |
- The Identity Provider is operated with organizational-level authority | - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage |
- The Identity Provider is trusted enough that it is (or it could be) used to access the organization’s own systems | - **The Identity Provider is trusted enough to be used to access your organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] |
- Generally-accepted security practices are applied to the Identity Provider | - **You publish contact information for your Identity Provider and respond in a timely fashion to operational issues** \\ Kommentar: Diese Punkte sind auch Gegenstand der DFN-AAI-Dienstvereinbarung |
- Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts | - **You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! |
Ab 1.1.2023 wird die Erfüllung dieser Kriterien eine der Voraussetzungen für die Teilnahme an der DFN-AAI sein. Aktuell gelten hierfür noch die Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse ''Basic'']]. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. | - **You ensure the metadata registered in Federation is complete, accurate and up to date.** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der DFN-AAI-Dienstvereinbarung festgelegt. |
| Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. |
| |
<callout type="danger" title="Beachten Sie bitte auch folgendes:"> | <callout type="danger" title="Beachten Sie bitte auch folgendes:"> |
**Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** | **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** |
</callout> | </callout> |
| |
| ===== Dienste, die Assurance-Informationen erfordern ===== |
| * [[https://unterrichtsvideos.net/metaportal/|Meta-Videoportal für die Lehrkräftebildung]], siehe auch unter [[de:aai:entity_categories|Entity Categories]] |
| * [[https://hifis.net/doc/helmholtz-aai/attributes/|Helmholtz AAI]] |
| * EuroHPC: LUMI, PUHURI, siehe {{de:aai:letter_for_identity_providers.pdf|Letter for Identity Providers}} |
| * National Institutes of Health (NIH): https://spaces.at.internet2.edu/display/federation/get-nih-ready |
| |
| Liste der IdPs aus dem HPC-Kontext, die eduPersonAssurance (nicht) übertragen: https://wiki.geant.org/display/MyAccessID/IdP+Status+Report |
| |
===== Konfigurationsbeispiele ===== | ===== Konfigurationsbeispiele ===== |
</file> | </file> |
| |
Die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) werden grundsätzlich erfüllt: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen muss und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden. | Falls die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) erfüllt werden: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden. |
| |
<file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
* bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats | * bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats |
* bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen, | * bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen, |
* bei allen anderen Nutzenden ist bereits eine entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist. | * bei allen anderen Nutzenden ist bereits eine den Vorgaben entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist. |
* die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert. | * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert. |
**Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden. | **Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden. |
... | ... |
</file> | </file> |
| (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]]) |
| |
| \\ |
| |
Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: | Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: |
<SourceValue caseSensitive="false">university_hospital_staff</SourceValue> | <SourceValue caseSensitive="false">university_hospital_staff</SourceValue> |
</ValueMap> | </ValueMap> |
| </AttributeDefinition> |
| ... |
| </file> |
| (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]]) |
| |
| \\ |
| |
| Hier noch ein Beispiel, dass davon ausgeht, dass für alle Mitarbeiter:innen folgendes gilt: "The identity proofing and credential issuance, renewal and replacement are done in a way that qualifies (or would qualify) the user to access the Home Organisation’s internal administrative systems" (z.B. Finanzadministration, Studierendenverwaltung, etc.), so dass für diese User $PREFIX$/IAP/local-enterprise gesetzt werden kann: |
| |
| <file xml ./conf/attribute-resolver.xml> |
| ... |
| <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonAssurance"> |
| <InputAttributeDefinition ref="eduPersonAffiliation" /> |
| <Script><![CDATA[ |
| eduPersonAssurance.getValues().add("https://refeds.org/assurance"); |
| if (eduPersonAffiliation.getValues().contains("staff")) { |
| eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise"); |
| } |
| ]]> |
| </Script> |
</AttributeDefinition> | </AttributeDefinition> |
... | ... |
* [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] | * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] |
* [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] | * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] |
| * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]] |
| |
{{tag>assurance}} | {{tag>assurance}} |