Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:aai:assurance_sp [2021/12/15 17:33] – Wolfgang Pempe
+++ de:aai:assurance_sp [2022/05/17 10:47] – Wolfgang Pempe
@@ Zeile 2: / Zeile 2: @@
 ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]])
-<callout type="danger" title="Work in Progress">
+===== Erste Schritte und Voraussetzungen =====
-Diese Seite ist noch im Aufbau begriffen!
+**Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].
-</callout>
-**Wichtiger Hinweis:** \\
+**Bitte nehmen Sie eine Schutzbedarfsfestellung für die durch den Service Provider geschützten Ressourcen vor. Auf dieser Grundlage entscheiden Sie, welche Kriterien des REFEDS Assurance Frameworks für den jeweiligen Service Provider relevant sind und aufgrund welcher Werte des Attributs [[de:common_attributes#a14|eduPersonAssurance]] die Autorisierungsentscheidung erfolgt (für die in der Regel noch weitere Faktoren entscheidend sind).**
-**Die folgenden Beispiele sind als Anregungen gedacht und sollten keinesfalls unreflektiert via copy + paste übernommen werden!**
-**Bitte nehmen Sie eine Schutzbedarfsfestellung für die durch den Service Provider geschützten Ressourcen vor. Auf dieser Grundlage entscheiden Sie, welche Kriterien des REFEDS Assurance Framework für den jeweiligen Service Provider relevant sind aufgrund welcher Werte des Attributs [[de:common_attributes#a14|eduPersonAssurance]] die Autorisierungsentscheidung erfolgt - für die selbstverständlich noch weitere Faktoren entscheidend sein können.**
+===== Konfigurationsbeispiele =====
+**Wichtige Hinweise:** \\
+  * **Die folgenden Konfigurationsbeispiele beziehen sich ausschließlich auf [[de:shibsp|Shibboleth Service Provider]] der Version 3.2.x**
+  * **Diese Beispiele sind als Anregungen gedacht und sollten keinesfalls unreflektiert via copy + paste übernommen werden!**
-===== Erste Schritte und Voraussetzungen =====
+==== Metadaten ====
-**Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].
+  * Laut [[de:aai:assurance#roadmap_zur_umstellung|Roadmap]] wird es ab 20.5.2022 keine nach Verlässlichkeitsklassen getrennten Metadatendateien mehr geben. Die [[de:metadata|Metadaten]] aller produktiven Identity Provider in der DFN-AAI sind unter https://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml verfügbar. Die Beispiele unter [[de:production|Produktivbetrieb]] sind bereits entsprechend angepasst. Bis Jahresende 2022 ist nach wie vor eine Unterscheidung anhand eines [[de:entity_attributes#verlaesslichkeitsklasse_des_idp|Entity Attributs]] möglich. Beispiele für einen entsprechenden Metadata Filter findet sich [[de:aai:mdq#ausschliesslich_idps_aus_dfn-aai_advanced|auf der Seite zur MDQ-Dokumentation]] und unter [[de:production#beispiel_sp|Produktivbetrieb]].
+  * Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut [[de:common_attributes#a14|eduPersonAssurance]] transportiert werden, sollte in der [[de:metadata_admin_tool|Metadatenverwaltung]] unter //Attribute Consuming Service// das Attribut ''eduPersonAssurance'' als ''isRequired=true'' deklariert werden.
+==== Apache Access Rules ====
+In diesem Beispiel erhalten Personen Zugriff auf die vom SP geschützen Ressourcen, für deren digitale Identität die Bedingungen für $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m erfüllt sind. Dies entspricht ganz ungefähr den Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse 'Advanced']].
+<file apache /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf>
+<Location /protected>
+   AuthType shibboleth
+   ShibRequestSetting requireSession true
+   <RequireAll>
+      Require shib-attr assurance https://refeds.org/assurance/IAP/medium
+      Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m
+    </RequireAll>
+</Location>
+</file>
+Das folgende Beispiel geht davon aus, dass ausschließlich Mitarbeitende (''staff'') bestimmter Einrichtungen, für die $PREFIX$/ID/unique, $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m gegeben sind, auf die vom Service Provider geschützte Ressource Zugriff erhalten sollen. Die Liste der zugriffsberechtigten Identity Provider bzw. Heimateinrichtungen wird über einen [[de:shibsp#filtermechanismen|entsprechenden Metadata Filter]] festgelegt. \\
+**Hinweis:** Das Attribut ''eduPersonAssurance'' wird in ''attribute-map.xml'' standardmäßig auf eine Variable namens ''assurance'' abgebildet, bei ''eduPersonAffiliation'' ist dies ''unscoped-affiliation''.
+<file apache /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf>
+<Location /protected>
+   AuthType shibboleth
+   ShibRequestSetting requireSession true
+   <RequireAll>
+      Require shib-attr unscoped-affiliation staff
+      Require shib-attr assurance https://refeds.org/assurance/ID/unique
+      Require shib-attr assurance https://refeds.org/assurance/IAP/medium
+      Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m
+    </RequireAll>
+</Location>
+</file>
-https://doku.tid.dfn.de/de:aai:mdq#ausschliesslich_idps_aus_dfn-aai_advanced
+**XML Access Control:** Für weitere Möglichkeiten, Zugriffskontrolle mithilfe des Shibboleth SP zu konfigurieren, sei auf [[https://www.switch.ch/aai/guides/sp/access-rules/|die Dokumentation von SWITCH]] verwiesen.
 ==== Materialien ====
   * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]]
   * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]]
+  * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]]
 {{tag>assurance}}

assurance