Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:attributes [2017/07/11 15:08] – [E-Research / Forschungsinfrastrukturen] Wolfgang Pempe | de:attributes [2019/03/29 10:41] – Wolfgang Pempe |
---|
| |
Diese Seite bietet eine Übersicht über die **Attribute**, die in der DFN-AAI üblicherweise zwischen den beteiligten Systemen ausgetauscht werden. **Das heißt nicht, dass diese Attribute bzw. Schema-Erweiterungen zwingend in ein vorhandenes IdM-System bzw. Nutzerverzeichnis integriert werden müssen!** In vielen Fällen kann in der Konfiguration eines Identity Providers ein Mapping von Informationen aus dem IDM auf die Attribute erfolgen, die bei der SAML-basierten Kommunikation relevant sind. Siehe hierzu auch unter [[de:shibidp3attributes|Attribut-Konfigurationen]]. | Diese Seite bietet eine Übersicht über die **Attribute**, die in der DFN-AAI üblicherweise zwischen den beteiligten Systemen ausgetauscht werden. **Das heißt nicht, dass diese Attribute bzw. Schema-Erweiterungen zwingend in ein vorhandenes IdM-System bzw. Nutzerverzeichnis integriert werden müssen!** In vielen Fällen kann in der Konfiguration eines Identity Providers ein Mapping von Informationen aus dem IDM auf die Attribute erfolgen, die bei der SAML-basierten Kommunikation relevant sind. Siehe hierzu auch unter [[de:shibidp3attributes|Attribut-Konfigurationen]]. |
| |
| Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://download.aai.dfn.de/ws/2018_fhdo/attributes.pdf|Präsentation von einem der DFN-AAI Workshops]]. |
| |
Im Hochschul- und Forschungsbereich haben sich verschiedene Attribut-Schemata etabliert, die sich inhaltlich weitestgehend ergänzen: | Im Hochschul- und Forschungsbereich haben sich verschiedene Attribut-Schemata etabliert, die sich inhaltlich weitestgehend ergänzen: |
* [[https://spaces.internet2.edu/display/macedir/LDIFs|eduPerson Schema]] (LDIFs, optional) | * [[https://spaces.internet2.edu/display/macedir/LDIFs|eduPerson Schema]] (LDIFs, optional) |
* Kommentierte [[de:common_attributes|Liste der am häufigsten verwendeten Attribute]] | * Kommentierte [[de:common_attributes|Liste der am häufigsten verwendeten Attribute]] |
| * **Neu (2019)** [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]] |
| |
==== E-Learning ==== | ==== E-Learning ==== |
* Zu den benötigten Kennziffern siehe die aktuellen [[https://www.destatis.de/DE/Methoden/Klassifikationen/BildungKultur/Content75/SystematikenHochschulen.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]] | * Zu den benötigten Kennziffern siehe die aktuellen [[https://www.destatis.de/DE/Methoden/Klassifikationen/BildungKultur/Content75/SystematikenHochschulen.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]] |
* Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:dfneduperson_oids|einen eigenen Bereich festgelegt]] | * Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:dfneduperson_oids|einen eigenen Bereich festgelegt]] |
* {{de:dfneduperson-1.1.schema.txt|dfnEduPerson-Schema}} für LDAP (optional) | * dfnEduPerson-Schema für LDAP (optional) und inoffizielle Version des dfnEduPerson-Schemas für Active Directory (optional) liegen unter https://download.aai.dfn.de/schema/ |
* Inoffizielle Version des {{de:dfneduperson-1.0.ad.ldf.txt|dfnEduPerson-Schemas für Active Directory}} (optional) | |
* Kommentierte [[de:elearning_attributes|Liste der gängigsten Attribute für den Bereich E-Learning]] | * Kommentierte [[de:elearning_attributes|Liste der gängigsten Attribute für den Bereich E-Learning]] |
| |
Ein weiterer Anwendungsfall sind sog. Attribute Authorities, über die Community- bzw. Projekt-spezifische Attribute abgerufen werden können. Um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und diesen Attributen herzustellen, ist ein global gültiger, eindeutiger Identifier erforderlich, z.B. [[de:common_attributes#a07|eduPersonPrincipalName]], [[de:common_attributes#a05|E-Mail-Adresse]] oder [[de:common_attributes#a12|eduPersonUniqueId]]. Zu technischen Details siehe auch die betreffenden Seiten im [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN-]] sowie im [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki]]. | Ein weiterer Anwendungsfall sind sog. Attribute Authorities, über die Community- bzw. Projekt-spezifische Attribute abgerufen werden können. Um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und diesen Attributen herzustellen, ist ein global gültiger, eindeutiger Identifier erforderlich, z.B. [[de:common_attributes#a07|eduPersonPrincipalName]], [[de:common_attributes#a05|E-Mail-Adresse]] oder [[de:common_attributes#a12|eduPersonUniqueId]]. Zu technischen Details siehe auch die betreffenden Seiten im [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN-]] sowie im [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki]]. |
| |
==== Hinweise zum Datenschutz ==== | ===Virtuelle Organisationen=== |
| Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://aarc-project.eu/architecture/|AARC Blueprint Architecture]] betreiben, wurde 2018 das [[https://github.com/voperson/voperson/blob/master/voPerson.md|voPerson Schema]] definiert. |
| |
| <callout type="danger"> |
| ==== Hinweise zum Datenschutzn ==== |
* Identity Provider sollten zwar grundsätzlich in der Lage sein, einen [[de:common_attributes|emfohlenen Mindestsatz an Attributen]] zu generieren und zu übertragen, was aber nicht heißt, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten! | * Identity Provider sollten zwar grundsätzlich in der Lage sein, einen [[de:common_attributes|emfohlenen Mindestsatz an Attributen]] zu generieren und zu übertragen, was aber nicht heißt, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten! |
* Attributfreigaben sollten nur gezielt und unter Beachtung der aktuell gültigen Datenschutzgesetze und -Bestimmungen erfolgen. Insbesondere gilt das Prinzip der Datensparsamkeit, d.h. es sollten nur die Attribute und Attributwerte übertragen werden, die zur Nutzung der jeweiligen Anwendung tatsächlich erforderlich sind. | * Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -Bestimmungen erfolgen. Insbesondere gilt das Prinzip der Datensparsamkeit, d.h. es sollten nur die Attribute und Attributwerte übertragen werden, die zur Nutzung der jeweiligen Anwendung bzw. Infrastruktur tatsächlich erforderlich sind. |
* Konsultieren Sie hierzu den/die Datenschutzbeauftragte(n) Ihrer Heimateinrichtung. | * Konsultieren Sie hierzu den/die Datenschutzbeauftragte(n) Ihrer Heimateinrichtung. |
* Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges //User Consent// Modul zum Einsatz kommen, das es den Nutzern ermöglicht, die zu übertragenden Attribute und Attributwerte zu kontrollieren und die Übertragung ggf. zu unterbinden. | * Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges //User Consent// Modul zum Einsatz kommen, das es den Nutzern ermöglicht, die zu übertragenden Attribute und Attributwerte zu kontrollieren und die Übertragung ggf. zu unterbinden. Siehe hierzu auch die Seite [[de:shibidp3consent_dsgvo|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]]. |
* Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA]], eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter [[https://wiki.aai.dfn.de/de:entity_attributes|Entity Attribute]] sowie unter [[de:shibidp3attrfilter|Attribut-Konfiguration für E-Research SPs]]. \\ Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des //Code of Conduct// finden sich [[https://wiki.refeds.org/display/CODE/What+attributes+are+relevant+for+a+Service+Provider|REFEDS-Wiki]]. | * Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA]], eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter [[https://wiki.aai.dfn.de/de:entity_attributes|Entity Attribute]] sowie unter [[de:shibidp3attrfilter|Attribut-Konfiguration für E-Research SPs]]. \\ Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des //Code of Conduct// finden sich [[https://wiki.refeds.org/display/CODE/What+attributes+are+relevant+for+a+Service+Provider|REFEDS-Wiki]]. |
| </callout> |