Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:aai:assurance_sp [2021/12/30 11:39] – Wolfgang Pempe | de:aai:assurance_sp [2023/01/12 17:17] – [Apache Access Rules] Wolfgang Pempe |
---|
====== REFEDS Assurance Framework - Service Provider ====== | ====== REFEDS Assurance Framework - Service Provider ====== |
([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) | ([[de:aai:assurance|allgemeine Informationen zu Verlässlichkeit/Assurance]]) |
| |
<callout type="danger" title="Work in Progress"> | |
Diese Seite ist noch im Aufbau begriffen! | |
</callout> | |
| |
===== Erste Schritte und Voraussetzungen ===== | ===== Erste Schritte und Voraussetzungen ===== |
| |
==== Metadaten ==== | ==== Metadaten ==== |
* Laut [[de:aai:assurance#roadmap_zur_umstellung|Roadmap]] wird es ab 1.4.2022 keine nach Verlässlichkeitsklassen getrennten Metadatendateien mehr geben. Die [[de:metadata|Metadaten]] aller produktiven Identity Provider in der DFN-AAI sind unter https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml verfügbar. Die Beispiele unter [[de:production|Produktivbetrieb]] sind bereits entsprechend angepasst. Bis Jahresende 2022 ist nach wie vor eine Unterscheidung anhand eines [[de:entity_attributes#verlaesslichkeitsklasse_des_idp|Entity Attributs]] möglich. Ein Beispiel für einen entsprechenden Metadata Filter findet sich [[de:aai:mdq#ausschliesslich_idps_aus_dfn-aai_advanced|auf der Seite zur MDQ-Dokumentation]]. | Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut [[de:common_attributes#a14|eduPersonAssurance]] transportiert werden, sollte in der [[de:metadata_admin_tool|Metadatenverwaltung]] unter //Attribute Consuming Service// das Attribut ''eduPersonAssurance'' als ''isRequired=true'' deklariert werden. |
* Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut [[de:common_attributes#a14|eduPersonAssurance]] transportiert werden, sollte in der [[de:metadata_admin_tool|Metadatenverwaltung]] unter //Attribute Consuming Service// das Attribut ''eduPersonAssurance'' als ''isRequired=true'' deklariert werden. | |
==== Apache Access Rules ==== | ==== Apache Access Rules ==== |
| In diesem Beispiel erhalten Personen Zugriff auf die vom SP geschützen Ressourcen, für deren digitale Identität die Bedingungen für $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m erfüllt sind. |
| |
| <file apache /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf> |
| <Location /protected> |
| AuthType shibboleth |
| ShibRequestSetting requireSession true |
| <RequireAll> |
| Require shib-attr assurance https://refeds.org/assurance/IAP/medium |
| Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m |
| </RequireAll> |
| </Location> |
| </file> |
| |
Das folgende Beispiel geht davon aus, dass ausschließlich Mitarbeitende (''staff'') bestimmter Einrichtungen, für die $PREFIX$/ID/unique, $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m gegeben sind, auf die vom Service Provider geschützte Ressource Zugriff erhalten sollen. Die Liste der zugriffsberechtigten Identity Provider bzw. Heimateinrichtungen wird über einen [[de:shibsp#filtermechanismen|entsprechenden Metadata Filter]] festgelegt. \\ | Das folgende Beispiel geht davon aus, dass ausschließlich Mitarbeitende (''staff'') bestimmter Einrichtungen, für die $PREFIX$/ID/unique, $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m gegeben sind, auf die vom Service Provider geschützte Ressource Zugriff erhalten sollen. Die Liste der zugriffsberechtigten Identity Provider bzw. Heimateinrichtungen wird über einen [[de:shibsp#filtermechanismen|entsprechenden Metadata Filter]] festgelegt. \\ |
* [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] | * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]] |
* [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] | * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]] |
| * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]] |
| |
{{tag>assurance}} | {{tag>assurance}} |