Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis REFEDS Assurance Framework - Service Provider Erste Schritte und Voraussetzungen Konfigurationsbeispiele Metadaten Apache Access Rules Materialien REFEDS Assurance Framework - Service Provider (allgemeine Informationen zu Verlässlichkeit/Assurance) Erste Schritte und Voraussetzungen Lesen Sie bitte die Spezifikation! Bei Fragen wenden Sie sich bitte an das DFN-AAI Team. Bitte nehmen Sie eine Schutzbedarfsfestellung für die durch den Service Provider geschützten Ressourcen vor. Auf dieser Grundlage entscheiden Sie, welche Kriterien des REFEDS Assurance Frameworks für den jeweiligen Service Provider relevant sind und aufgrund welcher Werte des Attributs eduPersonAssurance die Autorisierungsentscheidung erfolgt (für die in der Regel noch weitere Faktoren entscheidend sind). Konfigurationsbeispiele Wichtige Hinweise: Die folgenden Konfigurationsbeispiele beziehen sich ausschließlich auf Shibboleth Service Provider der Version 3.2.x Diese Beispiele sind als Anregungen gedacht und sollten keinesfalls unreflektiert via copy + paste übernommen werden! Metadaten Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut eduPersonAssurance transportiert werden, sollte in der Metadatenverwaltung unter Attribute Consuming Service das Attribut eduPersonAssurance als isRequired=true deklariert werden. Apache Access Rules In diesem Beispiel erhalten Personen Zugriff auf die vom SP geschützen Ressourcen, für deren digitale Identität die Bedingungen für $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m erfüllt sind. /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf <Location /protected> AuthType shibboleth ShibRequestSetting requireSession true <RequireAll> Require shib-attr assurance https://refeds.org/assurance/IAP/medium Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m </RequireAll> </Location> Das folgende Beispiel geht davon aus, dass ausschließlich Mitarbeitende (staff) bestimmter Einrichtungen, für die $PREFIX$/ID/unique, $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m gegeben sind, auf die vom Service Provider geschützte Ressource Zugriff erhalten sollen. Die Liste der zugriffsberechtigten Identity Provider bzw. Heimateinrichtungen wird über einen entsprechenden Metadata Filter festgelegt. Hinweis: Das Attribut eduPersonAssurance wird in attribute-map.xml standardmäßig auf eine Variable namens assurance abgebildet, bei eduPersonAffiliation ist dies unscoped-affiliation. /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf <Location /protected> AuthType shibboleth ShibRequestSetting requireSession true <RequireAll> Require shib-attr unscoped-affiliation staff Require shib-attr assurance https://refeds.org/assurance/ID/unique Require shib-attr assurance https://refeds.org/assurance/IAP/medium Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m </RequireAll> </Location> XML Access Control: Für weitere Möglichkeiten, Zugriffskontrolle mithilfe des Shibboleth SP zu konfigurieren, sei auf die Dokumentation von SWITCH verwiesen. Materialien Comparison Guide to Identity Assurance Mappings for Infrastructures Making Identity Assurance and Authentication Strength Work for Federated Infrastructures Materialien vom AAI-Workshop Februar 2022 assurance assurance Zuletzt geändert: vor 2 Monaten Anmelden