| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:aai:assurance_idp [2021/12/16 15:06] – [User Consent] Wolfgang Pempe | de:aai:assurance_idp [2024/01/21 13:39] (aktuell) – Wolfgang Pempe |
|---|
| ====== REFEDS Assurance Framework - Identity Provider ====== | ====== REFEDS Assurance Framework - Identity Provider ====== |
| ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) | ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) |
| |
| <callout type="danger" title="Work in Progress"> | |
| Diese Seite ist noch im Aufbau begriffen! | |
| </callout> | |
| |
| ===== Erste Schritte und Voraussetzungen ===== | ===== Erste Schritte und Voraussetzungen ===== |
| **Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. | **Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]]. |
| |
| Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. //Conformance Criteria// erfüllt sein: | Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein: |
| - The Identity Provider is operated with organizational-level authority | - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage |
| - The Identity Provider is trusted enough that it is (or it could be) used to access the organization’s own systems | - **The Identity Provider is trusted enough to be used to access your organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] |
| - Generally-accepted security practices are applied to the Identity Provider | - **You publish contact information for your Identity Provider and respond in a timely fashion to operational issues** \\ Kommentar: Diese Punkte sind auch Gegenstand der DFN-AAI-Dienstvereinbarung |
| - Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts | - **You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! |
| Ab 1.1.2023 wird die Erfüllung dieser Kriterien eine der Voraussetzungen für die Teilnahme an der DFN-AAI sein. Aktuell gelten hierfür noch die Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse ''Basic'']]. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. | - **You ensure the metadata registered in Federation is complete, accurate and up to date.** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der DFN-AAI-Dienstvereinbarung festgelegt. |
| | Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]]. |
| |
| <callout type="danger" title="Beachten Sie bitte auch folgendes:"> | <callout type="danger" title="Beachten Sie bitte auch folgendes:"> |
| **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** | **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** |
| </callout> | </callout> |
| | |
| | ===== Dienste, die Assurance-Informationen erfordern ===== |
| | * [[https://unterrichtsvideos.net/metaportal/|Meta-Videoportal für die Lehrkräftebildung]], siehe auch unter [[de:aai:entity_categories|Entity Categories]] |
| | * [[https://hifis.net/doc/helmholtz-aai/attributes/|Helmholtz AAI]] |
| | * EuroHPC: LUMI, PUHURI, siehe {{de:aai:letter_for_identity_providers.pdf|Letter for Identity Providers}} |
| | * National Institutes of Health (NIH): https://spaces.at.internet2.edu/display/federation/get-nih-ready |
| | |
| | Liste der IdPs aus dem HPC-Kontext, die eduPersonAssurance (nicht) übertragen: https://wiki.geant.org/display/MyAccessID/IdP+Status+Report |
| |
| ===== Konfigurationsbeispiele ===== | ===== Konfigurationsbeispiele ===== |
| |
| **Bitte recherchieren Sie gründlich, welche Kriterien des REFEDS Assurance Framework seitens Ihrer Heimateinrichtung auf welche Weise und ggf. für welche Nutzendengruppen erfüllt sind. Von dieser Faktenlage ausgehend erstellen Sie bitte eine entsprechend angepasste Attribute Resolver Konfiguration.** | **Bitte recherchieren Sie gründlich, welche Kriterien des REFEDS Assurance Framework seitens Ihrer Heimateinrichtung auf welche Weise und ggf. für welche Nutzendengruppen erfüllt sind. Von dieser Faktenlage ausgehend erstellen Sie bitte eine entsprechend angepasste Attribute Resolver Konfiguration.** |
| | |
| | ==== Föderationsmetadaten ==== |
| | Stellen Sie sicher, dass der IdP mindestens die Datei [[de:metadata|dfn-aai-sp-metadata.xml]] importiert! Ein Konfigurationsbeispiel findet sich unter [[de:production#beispiel_idp|Produktivbetrieb]]. |
| |
| ==== Attributfreigabe ==== | ==== Attributfreigabe ==== |
| |
| ==== Attribute Resolver ==== | ==== Attribute Resolver ==== |
| Um gegenüber Service Providern die grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren, genügt es, das sog. 'Prefix' als Attributwert zu übertragen. Dies ist die Minimalkonfiguration: | Um gegenüber Service Providern die grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren, genügt es, das sog. 'Prefix' als Attributwert zu übertragen. Dies ist die Minimalkonfiguration. Weiterhin wird hier über den Wert ''https://refeds.org/assurance/version/2'' die grundsätzliche Konformität mit Version 2 des REFEDS Assurance signalisiert. |
| <file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
| ... | ... |
| <Attribute id="eduPersonAssurance"> | <Attribute id="eduPersonAssurance"> |
| <Value>https://refeds.org/assurance</Value> | <Value>https://refeds.org/assurance</Value> |
| | <Value>https://refeds.org/assurance/version/2</Value> |
| </Attribute> | </Attribute> |
| </DataConnector> | </DataConnector> |
| <Attribute id="eduPersonAssurance"> | <Attribute id="eduPersonAssurance"> |
| <Value>https://refeds.org/assurance</Value> | <Value>https://refeds.org/assurance</Value> |
| | <Value>https://refeds.org/assurance/version/2</Value> |
| <Value>https://refeds.org/assurance/ATP/ePA-1m</Value> | <Value>https://refeds.org/assurance/ATP/ePA-1m</Value> |
| </Attribute> | </Attribute> |
| </file> | </file> |
| |
| Die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) werden grundsätzlich erfüllt: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen muss und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden. | Falls die Anforderungen bezüglich //Identifier Uniqueness// (Unique-1 bis Unique-4) erfüllt werden: $PREFIX$/ID/unique. Für Fälle, in denen noch der ''eduPersonPrincipalName'' zum Einsatz kommen und auch für dieses Attribut die Bedingungen Unique-1 bis Unique-3 gegeben sind, kann ergänzend $PREFIX$/ID/eppn-unique-no-reassign gesetzt werden. |
| |
| <file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
| <Attribute id="eduPersonAssurance"> | <Attribute id="eduPersonAssurance"> |
| <Value>https://refeds.org/assurance</Value> | <Value>https://refeds.org/assurance</Value> |
| | <Value>https://refeds.org/assurance/version/2</Value> |
| <Value>https://refeds.org/assurance/ATP/ePA-1m</Value> | <Value>https://refeds.org/assurance/ATP/ePA-1m</Value> |
| <Value>https://refeds.org/assurance/ID/unique</Value> | <Value>https://refeds.org/assurance/ID/unique</Value> |
| * bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats | * bei den Beschäftigten des Universitätsklinikums, die offiziell Angehörige der Universität sind, geschieht dies hingegen innerhalb eines Monats |
| * bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen, | * bei frisch immatrikulierten Studierenden, bei denen noch keine Identitätsprüfung anhand eines amtlichen Ausweisdokuments oder eines analogen eIDAS-konformen Tokens erfolgt ist, wird $PREFIX$/IAP/low angenommen, |
| * bei allen anderen Nutzenden ist bereits eine entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist. | * bei allen anderen Nutzenden ist bereits eine den Vorgaben entsprechende Identitätsprüfung erfolgt, daher kann $PREFIX$/IAP/medium zusätzlich gesetzt werden. Selbiges gilt für Studierende, bei denen die Validierung im Rahmen ihrer ersten Prüfung erfolgt ist. |
| * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert. | * die in den o.g. Punkten genannten Unterschiede werden über Gruppenmitgliedschaften anhand des LDAP-/AD-Attributs ''memberOf'' modelliert. |
| **Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden. | **Wichtig:** Bei $PREFIX$/IAP/medium und $PREFIX$/IAP/high müssen die jeweils niedrigeren Verlässlichkeiten mit übertragen werden. Analog ist bei $PREFIX$/ATP/ePA-1d zu verfahren, hier muss $PREFIX$/ATP/ePA-1m mit angegeben werden. |
| <Script><![CDATA[ | <Script><![CDATA[ |
| eduPersonAssurance.getValues().add("https://refeds.org/assurance"); | eduPersonAssurance.getValues().add("https://refeds.org/assurance"); |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance/version/2"); |
| eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/low"); | eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/low"); |
| eduPersonAssurance.getValues().add("https://refeds.org/assurance/ATP/ePA-1m"); | eduPersonAssurance.getValues().add("https://refeds.org/assurance/ATP/ePA-1m"); |
| ... | ... |
| </file> | </file> |
| | (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]]) |
| | |
| | \\ |
| |
| Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: | Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: |
| <SourceValue caseSensitive="false">university_hospital_staff</SourceValue> | <SourceValue caseSensitive="false">university_hospital_staff</SourceValue> |
| </ValueMap> | </ValueMap> |
| | </AttributeDefinition> |
| | ... |
| | </file> |
| | (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]]) |
| | |
| | \\ |
| | |
| | Hier noch ein Beispiel, dass davon ausgeht, dass für alle Mitarbeiter:innen folgendes gilt: "The identity proofing and credential issuance, renewal and replacement are done in a way that qualifies (or would qualify) the user to access the Home Organisation’s internal administrative systems" (z.B. Finanzadministration, Studierendenverwaltung, etc.), so dass für diese User $PREFIX$/IAP/local-enterprise gesetzt werden kann: |
| | |
| | <file xml ./conf/attribute-resolver.xml> |
| | ... |
| | <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonAssurance"> |
| | <InputAttributeDefinition ref="eduPersonAffiliation" /> |
| | <Script><![CDATA[ |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance"); |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance/version/2"); |
| | if (eduPersonAffiliation.getValues().contains("staff")) { |
| | eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise"); |
| | } |
| | ]]> |
| | </Script> |
| </AttributeDefinition> | </AttributeDefinition> |
| ... | ... |
| * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] | * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] |
| * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] | * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] |
| | * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]] |
| |
| {{tag>assurance}} | {{tag>assurance}} |