Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:aai:assurance_idp [2022/01/04 09:11] Wolfgang Pempede:aai:assurance_idp [2024/01/21 13:39] (aktuell) Wolfgang Pempe
Zeile 3: Zeile 3:
  
 ===== Erste Schritte und Voraussetzungen ===== ===== Erste Schritte und Voraussetzungen =====
-**Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].+**Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].
  
 Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein: Um als Identity Provider bzw. Heimateinrichtung grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren und entsprechende Attributwerte zu übertragen, müssen vier sog. **Conformance Criteria** erfüllt sein:
   - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage   - **The Identity Provider is operated with organizational-level authority** \\ Kommentar: IdPs müssen auch vertragstechnisch im Namen der jeweiligen Einrichtung betrieben werden, einzelne Fakultäten oder Universitäts-Institute kommen hierfür nicht in Frage
-  - **The Identity Provider is trusted enough that it is (or it could beused to access the organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] +  - **The Identity Provider is trusted enough to be used to access your organization’s own systems** \\ Kommentar: ... sofern diese SAML-fähig sind. Etwa die Hälfte der an der DFN-AAI teilnehmenden Einrichtungen nutzt hierfür die [[de:metadata_local|lokalen Metadaten]] 
-  - **Generally-accepted security practices are applied to the Identity Provider** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates! +  - **You publish contact information for your Identity Provider and respond in a timely fashion to operational issues** \\ Kommentar: Diese Punkte sind auch Gegenstand der DFN-AAI-Dienstvereinbarung 
-  - **Federation metadata is accurate, complete, and includes at least one of the following: support, technical, admin, or security contacts** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der AAI-Dienstvereinbarung festgelegt.   +  - **You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response** \\ Kommentar: Das Thema Betriebssicherheit gilt in besonderen Maße für Identity Provider. Hierzu gehört auch das zeitnahe Einspielen von Security Updates!  
-Ab 1.1.2023 wird die Erfüllung dieser Kriterien eine der Voraussetzungen für die Teilnahme an der DFN-AAI sein. Aktuell gelten hierfür noch die Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse ''Basic'']]. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]].    +  - **You ensure the metadata registered in Federation is complete, accurate and up to date.** \\ Kommentar: Die Verpflichtung, Betriebs- und Kontakt-Informationen aktuell und korrekt zu halten, ist vertraglich in der DFN-AAI-Dienstvereinbarung festgelegt.   
 +Die Erfüllung dieser Kriterien ist eine der Voraussetzungen für die Teilnahme an der DFN-AAI. Siehe hierzu auch [[de:requirements#identity_provider|Voraussetzungen für die Teilnahme an der DFN-AAI und Best Practices]].    
  
 <callout type="danger" title="Beachten Sie bitte auch folgendes:"> <callout type="danger" title="Beachten Sie bitte auch folgendes:">
 **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!** **Nachweislich falsche Angabe zur Verlässlichkeit von Identitäten führen zum Ausschluss aus der DFN-AAI!**
 </callout> </callout>
 +
 +===== Dienste, die Assurance-Informationen erfordern =====
 +  * [[https://unterrichtsvideos.net/metaportal/|Meta-Videoportal für die Lehrkräftebildung]], siehe auch unter [[de:aai:entity_categories|Entity Categories]]
 +  * [[https://hifis.net/doc/helmholtz-aai/attributes/|Helmholtz AAI]] 
 +  * EuroHPC: LUMI, PUHURI, siehe {{de:aai:letter_for_identity_providers.pdf|Letter for Identity Providers}}
 +  * National Institutes of Health (NIH): https://spaces.at.internet2.edu/display/federation/get-nih-ready
 +
 +Liste der IdPs aus dem HPC-Kontext, die eduPersonAssurance (nicht) übertragen: https://wiki.geant.org/display/MyAccessID/IdP+Status+Report
  
 ===== Konfigurationsbeispiele ===== ===== Konfigurationsbeispiele =====
Zeile 32: Zeile 41:
  
 ==== Attribute Resolver ==== ==== Attribute Resolver ====
-Um gegenüber Service Providern die grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren, genügt es, das sog. 'Prefix' als Attributwert zu übertragen. Dies ist die Minimalkonfiguration:+Um gegenüber Service Providern die grundsätzliche Konformität mit dem REFEDS Assurance Framework zu signalisieren, genügt es, das sog. 'Prefix' als Attributwert zu übertragen. Dies ist die Minimalkonfiguration. Weiterhin wird hier über den Wert ''https://refeds.org/assurance/version/2'' die grundsätzliche Konformität mit Version 2 des REFEDS Assurance signalisiert. 
 <file xml ./conf/attribute-resolver.xml> <file xml ./conf/attribute-resolver.xml>
 ... ...
Zeile 42: Zeile 51:
         <Attribute id="eduPersonAssurance">         <Attribute id="eduPersonAssurance">
             <Value>https://refeds.org/assurance</Value>             <Value>https://refeds.org/assurance</Value>
 +            <Value>https://refeds.org/assurance/version/2</Value>
         </Attribute>         </Attribute>
     </DataConnector>     </DataConnector>
Zeile 54: Zeile 64:
         <Attribute id="eduPersonAssurance">         <Attribute id="eduPersonAssurance">
             <Value>https://refeds.org/assurance</Value>             <Value>https://refeds.org/assurance</Value>
 +            <Value>https://refeds.org/assurance/version/2</Value>
             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>
         </Attribute>         </Attribute>
Zeile 67: Zeile 78:
         <Attribute id="eduPersonAssurance">         <Attribute id="eduPersonAssurance">
             <Value>https://refeds.org/assurance</Value>             <Value>https://refeds.org/assurance</Value>
 +            <Value>https://refeds.org/assurance/version/2</Value>
             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>             <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>
             <Value>https://refeds.org/assurance/ID/unique</Value>             <Value>https://refeds.org/assurance/ID/unique</Value>
Zeile 89: Zeile 101:
         <Script><![CDATA[         <Script><![CDATA[
             eduPersonAssurance.getValues().add("https://refeds.org/assurance");             eduPersonAssurance.getValues().add("https://refeds.org/assurance");
 +            eduPersonAssurance.getValues().add("https://refeds.org/assurance/version/2");
             eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/low");             eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/low");
             eduPersonAssurance.getValues().add("https://refeds.org/assurance/ATP/ePA-1m");             eduPersonAssurance.getValues().add("https://refeds.org/assurance/ATP/ePA-1m");
Zeile 103: Zeile 116:
 </file> </file>
 (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]]) (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631560/ScriptedAttributeDefinition|Scripted Attribute Definition]])
 +
 +\\
  
 Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden: Alternativ lässt sich der oben angenommene Sachverhalt auch über eine //Mapped Attribute Definition// abbilden:
Zeile 147: Zeile 162:
 </file> </file>
 (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]]) (Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631555/MappedAttributeDefinition|Mapped Attribute Definition]])
 +
 +\\
 +
 +Hier noch ein Beispiel, dass davon ausgeht, dass für alle Mitarbeiter:innen folgendes gilt: "The identity proofing and credential issuance, renewal and replacement are done in a way that qualifies (or would qualify) the user to access the Home Organisation’s internal administrative systems" (z.B. Finanzadministration, Studierendenverwaltung, etc.), so dass für diese User $PREFIX$/IAP/local-enterprise gesetzt werden kann:
 +
 +<file xml ./conf/attribute-resolver.xml>
 +...
 +    <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonAssurance">
 +        <InputAttributeDefinition ref="eduPersonAffiliation" />
 +        <Script><![CDATA[
 +            eduPersonAssurance.getValues().add("https://refeds.org/assurance");
 +            eduPersonAssurance.getValues().add("https://refeds.org/assurance/version/2");
 +            if (eduPersonAffiliation.getValues().contains("staff")) {
 +               eduPersonAssurance.getValues().add("https://refeds.org/assurance/IAP/local-enterprise");
 +            }
 +        ]]>
 +        </Script>
 +    </AttributeDefinition>
 +...
 +</file>
  
 ===== Materialien ===== ===== Materialien =====
Zeile 152: Zeile 187:
   * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]]   * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]]
   * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]]   * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]]
 +  * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]]
  
 {{tag>assurance}} {{tag>assurance}}
  • Zuletzt geändert: vor 2 Jahren