Dies ist eine alte Version des Dokuments!

REFEDS Assurance Framework - Service Provider

(allgemeine Informationen zu Verlässlichkeit/Assurance)

Work in Progress

Diese Seite ist noch im Aufbau begriffen!

Erste Schritte und Voraussetzungen

Lesen Sie bitte die Spezifikation!
Bei Fragen wenden Sie sich bitte an das DFN-AAI Team.

Bitte nehmen Sie eine Schutzbedarfsfestellung für die durch den Service Provider geschützten Ressourcen vor. Auf dieser Grundlage entscheiden Sie, welche Kriterien des REFEDS Assurance Frameworks für den jeweiligen Service Provider relevant sind und aufgrund welcher Werte des Attributs eduPersonAssurance die Autorisierungsentscheidung erfolgt - für die in der Regel noch weitere Faktoren entscheidend sind.

Konfigurationsbeispiele

Wichtige Hinweise:

  • Die folgenden Konfigurationsbeispiele beziehen sich ausschließlich auf Shibboleth Service Provider der Version 3.2.x
  • Diese Beispiele sind als Anregungen gedacht und sollten keinesfalls unreflektiert via copy + paste übernommen werden!

Metadaten

Laut Roadmap wird es ab 1.4.2022 keine nach Verlässlichkeitsklassen getrennten Metadatendateien mehr geben. Die Metadaten aller produktiven Identity Provider in der DFN-AAI sind unter https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml verfügbar. Die Beispiele unter Produktivbetrieb sind bereits entsprechend angepasst. Bis Jahresende 2022 ist nach wie vor eine Unterscheidung anhand eines Entity Attributs möglich. Ein Beispiel für einen entsprechenden Metadata Filter findet sich auf der Seite zur MDQ-Dokumentation.

Apache Access Rules

Das folgende Beispiel geht davon aus, dass ausschließlich Mitarbeitende (staff) bestimmter Einrichtungen, für die $PREFIX$/ID/unique, $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m gegeben sind, auf die vom Service Provider geschützte Ressource Zugriff erhalten sollen. Die Liste der zugriffsberechtigten Identity Provider bzw. Heimateinrichtungen wird über einen entsprechenden Metadata Filter festgelegt.
Hinweis: Das Attribut eduPersonAssurance wird in attribute-map.xml standardmäßig auf eine Variable namens assurance abgebildet, bei eduPersonAffiliation ist dies unscoped-affiliation.

/etc/apache2/sites-enabled/sp.uni-beispiel.de.conf
<Location /protected>
   AuthType shibboleth
   ShibRequestSetting requireSession true
   <RequireAll>
      Require shib-attr unscoped-affiliation staff
      Require shib-attr assurance https://refeds.org/assurance/ID/unique
      Require shib-attr assurance https://refeds.org/assurance/IAP/medium
      Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m
    </RequireAll>
</Location>

Materialien

  • Zuletzt geändert: vor 3 Jahren