Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
de:attributes [2019/03/29 10:41]
Wolfgang Pempe
de:attributes [2019/09/26 15:36]
Wolfgang Pempe
Zeile 1: Zeile 1:
 +~~NOTOC~~
 ====== Attribute ====== ====== Attribute ======
 +{{INLINETOC 2}}
 Diese Seite bietet eine Übersicht über die **Attribute**,​ die in der DFN-AAI üblicherweise zwischen den beteiligten Systemen ausgetauscht werden. **Das heißt nicht, dass diese Attribute bzw. Schema-Erweiterungen zwingend in ein vorhandenes IdM-System bzw. Nutzerverzeichnis integriert werden müssen!** In vielen Fällen kann in der Konfiguration eines Identity Providers ein Mapping von Informationen aus dem IDM auf die Attribute erfolgen, die bei der SAML-basierten Kommunikation relevant sind. Siehe hierzu auch unter [[de:​shibidp3attributes|Attribut-Konfigurationen]]. Diese Seite bietet eine Übersicht über die **Attribute**,​ die in der DFN-AAI üblicherweise zwischen den beteiligten Systemen ausgetauscht werden. **Das heißt nicht, dass diese Attribute bzw. Schema-Erweiterungen zwingend in ein vorhandenes IdM-System bzw. Nutzerverzeichnis integriert werden müssen!** In vielen Fällen kann in der Konfiguration eines Identity Providers ein Mapping von Informationen aus dem IDM auf die Attribute erfolgen, die bei der SAML-basierten Kommunikation relevant sind. Siehe hierzu auch unter [[de:​shibidp3attributes|Attribut-Konfigurationen]].
  
-Zum grundlegenden Verständnis der Attribut-Generierung,​ -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://​download.aai.dfn.de/​ws/​2018_fhdo/​attributes.pdf|Präsentation von einem der DFN-AAI Workshops]].+Zum grundlegenden Verständnis der Attribut-Generierung,​ -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://​download.aai.dfn.de/​ws/​2019_cc/​attributes.pdf|Präsentation von einem der DFN-AAI Workshops]].
  
 Im Hochschul- und Forschungsbereich haben sich verschiedene Attribut-Schemata etabliert, die sich inhaltlich weitestgehend ergänzen: Im Hochschul- und Forschungsbereich haben sich verschiedene Attribut-Schemata etabliert, die sich inhaltlich weitestgehend ergänzen:
Zeile 11: Zeile 12:
     * [[http://​macedir.org/​specs/​eduperson/​|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata bzw. Klassen]]     * [[http://​macedir.org/​specs/​eduperson/​|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata bzw. Klassen]]
     * [[https://​spaces.internet2.edu/​display/​macedir/​LDIFs|eduPerson Schema]] (LDIFs, optional)     * [[https://​spaces.internet2.edu/​display/​macedir/​LDIFs|eduPerson Schema]] (LDIFs, optional)
-  * Kommentierte [[de:​common_attributes|Liste der am häufigsten verwendeten Attribute]] 
   * **Neu (2019)** [[http://​docs.oasis-open.org/​security/​saml-subject-id-attr/​v1.0/​saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]]   * **Neu (2019)** [[http://​docs.oasis-open.org/​security/​saml-subject-id-attr/​v1.0/​saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]]
- +  * **Kommentierte [[de:​common_attributes|Liste der am häufigsten verwendeten / empfohlenen Attribute]]** 
-==== E-Learning ====+  ​ 
 +==== E-Learning ​und DFN-spezifische Erweiterungen ​====
   * **SCHAC** (**SCH**ema for **AC**ademia)   * **SCHAC** (**SCH**ema for **AC**ademia)
     * [[https://​wiki.refeds.org/​display/​STAN/​SCHAC+Releases|Offizielle Dokumentation]] (REFEDS, bitte auch die Seite [[https://​wiki.refeds.org/​display/​STAN/​SCHAC_1.5.0_issues|SCHAC_1.5.0_issues]] beachten)     * [[https://​wiki.refeds.org/​display/​STAN/​SCHAC+Releases|Offizielle Dokumentation]] (REFEDS, bitte auch die Seite [[https://​wiki.refeds.org/​display/​STAN/​SCHAC_1.5.0_issues|SCHAC_1.5.0_issues]] beachten)
     * [[http://​davestechnology.blogspot.de/​2012/​12/​eduperson-aueduperson-schac-schema-for.html|Inoffizielle Variante des SCHAC-Schemas für Active Directory]] (optional)     * [[http://​davestechnology.blogspot.de/​2012/​12/​eduperson-aueduperson-schac-schema-for.html|Inoffizielle Variante des SCHAC-Schemas für Active Directory]] (optional)
-  * **dfnEduPerson** ergänzt das eduPerson-Schema um spezifische Attribute für den Deutschen ​Hochschulbereich+  * **dfnEduPerson** ergänzt das eduPerson-Schema um spezifische Attribute für den Deutschen ​Hochschul- und Bibliotheksbereich
     * Zu den benötigten Kennziffern siehe die aktuellen [[https://​www.destatis.de/​DE/​Methoden/​Klassifikationen/​BildungKultur/​Content75/​SystematikenHochschulen.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]]     * Zu den benötigten Kennziffern siehe die aktuellen [[https://​www.destatis.de/​DE/​Methoden/​Klassifikationen/​BildungKultur/​Content75/​SystematikenHochschulen.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]]
     * Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:​dfneduperson_oids|einen eigenen Bereich festgelegt]]     * Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:​dfneduperson_oids|einen eigenen Bereich festgelegt]]
     * dfnEduPerson-Schema für LDAP (optional) und inoffizielle Version des dfnEduPerson-Schemas für Active Directory (optional) liegen unter https://​download.aai.dfn.de/​schema/​     * dfnEduPerson-Schema für LDAP (optional) und inoffizielle Version des dfnEduPerson-Schemas für Active Directory (optional) liegen unter https://​download.aai.dfn.de/​schema/​
-  * Kommentierte [[de:​elearning_attributes|Liste der gängigsten Attribute ​für den Bereich E-Learning]]+  ​* **Kommentierte [[de:​elearning_attributes|Liste ​der DFN-spezifischen und der gängigsten Attribute ​aus dem Bereich E-Learning]]**
  
 ==== E-Research / Forschungsinfrastrukturen ==== ==== E-Research / Forschungsinfrastrukturen ====
Zeile 31: Zeile 32:
 ===Virtuelle Organisationen=== ===Virtuelle Organisationen===
 Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://​aarc-project.eu/​architecture/​|AARC Blueprint Architecture]] betreiben, wurde 2018 das [[https://​github.com/​voperson/​voperson/​blob/​master/​voPerson.md|voPerson Schema]] definiert. Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://​aarc-project.eu/​architecture/​|AARC Blueprint Architecture]] betreiben, wurde 2018 das [[https://​github.com/​voperson/​voperson/​blob/​master/​voPerson.md|voPerson Schema]] definiert.
 +
 +==== Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI ====
 +[[de:​aai:​attributes_best_practice|Dokumentation der Empfehlungen]]
  
 <callout type="​danger">​ <callout type="​danger">​
-==== Hinweise zum Datenschutzn ​====+==== Hinweise zum Datenschutz ​====
   * Identity Provider sollten zwar grundsätzlich in der Lage sein, einen [[de:​common_attributes|emfohlenen Mindestsatz an Attributen]] zu generieren und zu übertragen,​ was aber nicht heißt, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten! ​   * Identity Provider sollten zwar grundsätzlich in der Lage sein, einen [[de:​common_attributes|emfohlenen Mindestsatz an Attributen]] zu generieren und zu übertragen,​ was aber nicht heißt, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten! ​
   * Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -Bestimmungen erfolgen. Insbesondere gilt das Prinzip der Datensparsamkeit,​ d.h. es sollten nur die Attribute und Attributwerte übertragen werden, die zur Nutzung der jeweiligen Anwendung bzw. Infrastruktur tatsächlich erforderlich sind.   * Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -Bestimmungen erfolgen. Insbesondere gilt das Prinzip der Datensparsamkeit,​ d.h. es sollten nur die Attribute und Attributwerte übertragen werden, die zur Nutzung der jeweiligen Anwendung bzw. Infrastruktur tatsächlich erforderlich sind.
  • Zuletzt geändert: vor 8 Tagen