Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:aai:assurance_sp [2022/05/03 16:39] – [Metadaten] Wolfgang Pempede:aai:assurance_sp [2024/01/21 13:47] (aktuell) Wolfgang Pempe
Zeile 3: Zeile 3:
  
 ===== Erste Schritte und Voraussetzungen ===== ===== Erste Schritte und Voraussetzungen =====
-**Lesen Sie bitte die [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].+**Lesen Sie bitte die aktuelle Version der [[https://refeds.org/assurance|Spezifikation]]!** \\ Bei Fragen wenden Sie sich bitte an das [[hotline@aai.dfn.de|DFN-AAI Team]].
  
 **Bitte nehmen Sie eine Schutzbedarfsfestellung für die durch den Service Provider geschützten Ressourcen vor. Auf dieser Grundlage entscheiden Sie, welche Kriterien des REFEDS Assurance Frameworks für den jeweiligen Service Provider relevant sind und aufgrund welcher Werte des Attributs [[de:common_attributes#a14|eduPersonAssurance]] die Autorisierungsentscheidung erfolgt (für die in der Regel noch weitere Faktoren entscheidend sind).** **Bitte nehmen Sie eine Schutzbedarfsfestellung für die durch den Service Provider geschützten Ressourcen vor. Auf dieser Grundlage entscheiden Sie, welche Kriterien des REFEDS Assurance Frameworks für den jeweiligen Service Provider relevant sind und aufgrund welcher Werte des Attributs [[de:common_attributes#a14|eduPersonAssurance]] die Autorisierungsentscheidung erfolgt (für die in der Regel noch weitere Faktoren entscheidend sind).**
Zeile 13: Zeile 13:
  
 ==== Metadaten ==== ==== Metadaten ====
-  * Laut [[de:aai:assurance#roadmap_zur_umstellung|Roadmap]] wird es ab 20.5.2022 keine nach Verlässlichkeitsklassen getrennten Metadatendateien mehr geben. Die [[de:metadata|Metadaten]] aller produktiven Identity Provider in der DFN-AAI sind unter https://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml verfügbar. Die Beispiele unter [[de:production|Produktivbetrieb]] sind bereits entsprechend angepasst. Bis Jahresende 2022 ist nach wie vor eine Unterscheidung anhand eines [[de:entity_attributes#verlaesslichkeitsklasse_des_idp|Entity Attributs]] möglich. Beispiele für einen entsprechenden Metadata Filter findet sich [[de:aai:mdq#ausschliesslich_idps_aus_dfn-aai_advanced|auf der Seite zur MDQ-Dokumentation]] und unter [[de:production#beispiel_sp|Produktivbetrieb]]. +Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut [[de:common_attributes#a14|eduPersonAssurance]] transportiert werden, sollte in der [[de:metadata_admin_tool|Metadatenverwaltung]] unter //Attribute Consuming Service// das Attribut ''eduPersonAssurance'' als ''isRequired=true'' deklariert werden. 
-  * Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut [[de:common_attributes#a14|eduPersonAssurance]] transportiert werden, sollte in der [[de:metadata_admin_tool|Metadatenverwaltung]] unter //Attribute Consuming Service// das Attribut ''eduPersonAssurance'' als ''isRequired=true'' deklariert werden. +
  
 ==== Apache Access Rules ==== ==== Apache Access Rules ====
-In diesem Beispiel erhalten Personen Zugriff auf die vom SP geschützen Ressourcen, für deren digitale Identität die Bedingungen für $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m erfüllt sind. Dies entspricht ganz ungefähr den Anforderungen der [[de:degrees_of_reliance|Verlässlichkeitsklasse 'Advanced']].  +In diesem Beispiel erhalten Personen Zugriff auf die vom SP geschützen Ressourcen, für deren digitale Identität die Bedingungen für $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m erfüllt sind.   
  
 <file apache /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf> <file apache /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf>
Zeile 24: Zeile 23:
    ShibRequestSetting requireSession true    ShibRequestSetting requireSession true
    <RequireAll>    <RequireAll>
 +      Require shib-attr assurance https://refeds.org/assurance/IAP/medium
 +      Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m
 +    </RequireAll>
 +</Location>
 +</file>
 +
 +Wie oben, zusätzlich akzeptiert der Service-Provider nur REFEDS Assurance Framework version 2.0. 
 +
 +<file apache /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf>
 +<Location /protected>
 +   AuthType shibboleth
 +   ShibRequestSetting requireSession true
 +   <RequireAll>
 +      Require shib-attr assurance https://refeds.org/assurance/version/2
       Require shib-attr assurance https://refeds.org/assurance/IAP/medium       Require shib-attr assurance https://refeds.org/assurance/IAP/medium
       Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m       Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m
Zeile 51: Zeile 64:
   * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]]   * [[https://doi.org/10.5281/zenodo.3627594|Comparison Guide to Identity Assurance Mappings for Infrastructures]]
   * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]]   * [[https://doi.org/10.5281/zenodo.4916049|Making Identity Assurance and Authentication Strength Work for Federated Infrastructures]]
 +  * Materialien vom [[de:aai:events:ws2022|AAI-Workshop Februar 2022]]
  
 {{tag>assurance}} {{tag>assurance}}
  • Zuletzt geändert: vor 23 Monaten