Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:assurance_idp [2023/01/23 09:40] – [Dienste, die Assurance-Informationen erfordern] Wolfgang Pempede:aai:assurance_idp [2025/01/17 13:47] (aktuell) – [Erste Schritte und Voraussetzungen] Wolfgang Pempe
Zeile 3: Zeile 3:
  
 ===== Erste Schritte und Voraussetzungen ===== ===== Erste Schritte und Voraussetzungen =====
-**Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].+**Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].
  
-Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein:+Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen die sog. **Conformance Criteria** erfüllt sein:
   - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage   - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage
-  - **The Identity Provider is trusted enough that it is (or it could beused to access the organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] +  - **The Identity Provider is trusted enough to be used to access your organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] 
-  - **Generally-accepted security practices are applied to the Identity Provider** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! +  - **You publish contact information for your Identity Provider and respond in a timely fashion to operational issues** \\ Kommentar: Diese Punkte sind auch Gegenstand der DFN-AAI-Dienstvereinbarung 
-  - **Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der AAI-Dienstvereinbarung festgelegt.  +  - **You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates!  
 +  - **You ensure the metadata registered in Federation is complete, accurate and up to date.** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der DFN-AAI-Dienstvereinbarung festgelegt.  
 Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]].     Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]].    
  
Zeile 40: Zeile 41:
  
 ==== Attribute Resolver ==== ==== Attribute Resolver ====
-Um gegenüber Service Providern die grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren, genügt es, das sog. 'Prefix' als Attributwert zu übertragen. Dies ist die Minimalkonfiguration:+Um gegenüber Service Providern die grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren, genügt es, das sog. 'Prefix' als Attributwert zu übertragen. Dies ist die Minimalkonfiguration. Weiterhin wird hier über den Wert ''https://refeds.org/assurance/version/2'' die grundsätzliche Konformität mit Version 2 des REFEDS Assurance signalisiert. 
 <file xml ./conf/attribute-resolver.xml> <file xml ./conf/attribute-resolver.xml>
 ... ...
Zeile 50: Zeile 51:
         <Attribute id="eduPersonAssurance">         <Attribute id="eduPersonAssurance">
             <Value>https://refeds.org/assurance</Value>             <Value>https://refeds.org/assurance</Value>
 +            <Value>https://refeds.org/assurance/version/2</Value>
         </Attribute>         </Attribute>
     </DataConnector>     </DataConnector>
Zeile 62: Zeile 64:
         <Attribute id="eduPersonAssurance">         <Attribute id="eduPersonAssurance">
             <Value>https://refeds.org/assurance</Value>             <Value>https://refeds.org/assurance</Value>
 +            <Value>https://refeds.org/assurance/version/2</Value>
             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>
         </Attribute>         </Attribute>
Zeile 75: Zeile 78:
         <Attribute id="eduPersonAssurance">         <Attribute id="eduPersonAssurance">
             <Value>https://refeds.org/assurance</Value>             <Value>https://refeds.org/assurance</Value>
 +            <Value>https://refeds.org/assurance/version/2</Value>
             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>
             <Value>https://refeds.org/assurance/ID/unique</Value>             <Value>https://refeds.org/assurance/ID/unique</Value>
Zeile 97: Zeile 101:
         <Script><![CDATA[         <Script><![CDATA[
             eduPersonAssurance.getValues().add("https://refeds.org/assurance");             eduPersonAssurance.getValues().add("https://refeds.org/assurance");
 +            eduPersonAssurance.getValues().add("https://refeds.org/assurance/version/2");
             eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/low");             eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/low");
             eduPersonAssurance.getValues().add("https://refeds.org/assurance/ATP/ePA-1m");             eduPersonAssurance.getValues().add("https://refeds.org/assurance/ATP/ePA-1m");
Zeile 110: Zeile 115:
 ... ...
 </file> </file>
-(Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]])+(Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199503289/ScriptedAttributeDefinition|Scripted Attribute Definition]])
  
 \\ \\
Zeile 156: Zeile 161:
 ... ...
 </file> </file>
-(Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]])+(Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199503134/MappedAttributeDefinition|Mapped Attribute Definition]])
  
 \\ \\
Zeile 168: Zeile 173:
         <Script><![CDATA[         <Script><![CDATA[
             eduPersonAssurance.getValues().add("https://refeds.org/assurance");             eduPersonAssurance.getValues().add("https://refeds.org/assurance");
 +            eduPersonAssurance.getValues().add("https://refeds.org/assurance/version/2");
             if (eduPersonAffiliation.getValues().contains("staff")) {             if (eduPersonAffiliation.getValues().contains("staff")) {
                eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise");                eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise");
  • Zuletzt geändert: vor 2 Jahren