| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:aai:assurance_idp [2021/12/30 11:18] – Wolfgang Pempe | de:aai:assurance_idp [2024/01/21 13:28] – Wolfgang Pempe |
|---|
| ====== REFEDS Assurance Framework - Identity Provider ====== | ====== REFEDS Assurance Framework - Identity Provider ====== |
| ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) | ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) |
| |
| <callout type="danger" title="Work in Progress"> | |
| Diese Seite ist noch im Aufbau begriffen! | |
| </callout> | |
| |
| ===== Erste Schritte und Voraussetzungen ===== | ===== Erste Schritte und Voraussetzungen ===== |
| **Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. | **Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. |
| |
| Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein: | Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein: |
| - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage | - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage |
| - **The Identity Provider is trusted enough that it is (or it could be) used to access the organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] | - **The Identity Provider is trusted enough to be used to access your organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] |
| - **Generally-accepted security practices are applied to the Identity Provider** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! | - **You publish contact information for your Identity Provider and respond in a timely fashion to operational issues** \\ Kommentar: Diese Punkte sind auch Gegenstand der DFN-AAI-Dienstvereinbarung |
| - **Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der AAI-Dienstvereinbarung festgelegt. | - **You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! |
| Ab 1.1.2023 wird die Erfüllung dieser Kriterien eine der Voraussetzungen für die Teilnahme an der DFN-AAI sein. Aktuell gelten hierfür noch die Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse ''Basic'']]. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. | - **You ensure the metadata registered in Federation is complete, accurate and up to date.** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der DFN-AAI-Dienstvereinbarung festgelegt. |
| | Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. |
| |
| <callout type="danger" title="Beachten Sie bitte auch folgendes:"> | <callout type="danger" title="Beachten Sie bitte auch folgendes:"> |
| **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** | **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** |
| </callout> | </callout> |
| | |
| | ===== Dienste, die Assurance-Informationen erfordern ===== |
| | * [[https://unterrichtsvideos.net/metaportal/|Meta-Videoportal für die Lehrkräftebildung]], siehe auch unter [[de:aai:entity_categories|Entity Categories]] |
| | * [[https://hifis.net/doc/helmholtz-aai/attributes/|Helmholtz AAI]] |
| | * EuroHPC: LUMI, PUHURI, siehe {{de:aai:letter_for_identity_providers.pdf|Letter for Identity Providers}} |
| | * National Institutes of Health (NIH): https://spaces.at.internet2.edu/display/federation/get-nih-ready |
| | |
| | Liste der IdPs aus dem HPC-Kontext, die eduPersonAssurance (nicht) übertragen: https://wiki.geant.org/display/MyAccessID/IdP+Status+Report |
| |
| ===== Konfigurationsbeispiele ===== | ===== Konfigurationsbeispiele ===== |
| </file> | </file> |
| (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]]) | (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]]) |
| | |
| | \\ |
| |
| Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: | Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: |
| </file> | </file> |
| (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]]) | (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]]) |
| | |
| | \\ |
| | |
| | Hier noch ein Beispiel, dass davon ausgeht, dass für alle Mitarbeiter:innen folgendes gilt: "The identity proofing and credential issuance, renewal and replacement are done in a way that qualifies (or would qualify) the user to access the Home Organisation’s internal administrative systems" (z.B. Finanzadministration, Studierendenverwaltung, etc.), so dass für diese User $PREFIX$/IAP/local-enterprise gesetzt werden kann: |
| | |
| | <file xml ./conf/attribute-resolver.xml> |
| | ... |
| | <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonAssurance"> |
| | <InputAttributeDefinition ref="eduPersonAffiliation" /> |
| | <Script><![CDATA[ |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance"); |
| | if (eduPersonAffiliation.getValues().contains("staff")) { |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise"); |
| | } |
| | ]]> |
| | </Script> |
| | </AttributeDefinition> |
| | ... |
| | </file> |
| |
| ===== Materialien ===== | ===== Materialien ===== |
| * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] | * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] |
| * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] | * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] |
| | * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]] |
| |
| {{tag>assurance}} | {{tag>assurance}} |