Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:attributes [2017/07/07 10:07] Wolfgang Pempede:attributes [2024/02/19 16:59] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Attribute ====== ====== Attribute ======
  
------ +Diese Seite bietet eine Übersicht über die Attributschemata, die in der DFN-AAI verwendet werden. Diese Schemata müssen //nicht// in Ihr IdM-System bzw. Nutzerverzeichnis integriert werden. Die Übersetzung zwischen IdM-Attributen und AAI-Attributen kann im IdP konfiguriert werden. Wie das grundsätzlich funktioniert, erklären wir unter [[de:attributes-nutshell|Attribute in a Nutshell]].
  
-**Diese Seite ist noch im Aufbau begriffen! \\ Siehe einstweilen noch unter https://www.aai.dfn.de/der-dienst/attribute/**\\ +Im Hochschul- und Forschungsbereich haben sich verschiedene Attributschemata etabliert, die sich inhaltlich weitestgehend ergänzenDie gängigsten Attribute sind in den Schemata eduPerson, person, inetOrgPerson und organizationalPerson definiert
------+
  
-Diese Seite bietet eine Übersicht über die **Attribute**, die in der DFN-AAI üblicherweise zwischen den beteiligten Systemen ausgetauscht werden. **Das heißt nicht, dass diese Attribute bzw. Schema-Erweiterungen zwingend in ein vorhandenes IdM-System bzw. Nutzerverzeichnis integriert werden müssen!** In vielen Fällen kann in der Konfiguration eines Identity Providers ein Mapping von Informationen aus dem IDM auf die Attribute erfolgen, die bei der SAML-basierten Kommunikation relevant sind. Siehe hierzu auch unter [[de:shibidp3attributes|Attribut-Konfigurationen]].+<callout color="#ff9900" title="Attribute, die jeder IdP unterstützen sollte"> 
 +Bitte schauen Sie sich unsere [[de:common_attributes|kommentierte Liste]] an, die die Attribute zeigt, die jeder Identity Provider für einen reibungslosen Betrieb liefern können sollte.
  
-Im Hochschulund Forschungsbereich haben sich verschiedene Attribut-Schemata etabliertdie sich inhaltlich weitestgehend ergänzen:+\\ 
 +**Shibboleth IdP 4.x:** Transcoding Properties, die nicht im Lieferumfang enthalten sind: [[de:shibidp:config-attributes#dfneduperson-schema_einbinden|dfnEduPerson]] (dfnEduPerson Schemas.u.) und [[de:shibidp:dfn_misc_transcoder|dfnMisc]] (weitere häufiger genutzte Attribute).  
 +</callout>
  
-==== Allgemein ==== +Weitere Informationen zu den Schemata bzw. Klassen finden Sie hier: 
-  * **eduPerson, person, inetOrgPerson, organizationalPerson** +  * [[https://wiki.refeds.org/display/STAN/eduPerson+%28202208%29+v4.4.0|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata bzw. Klassen]] 
-    * [[http://macedir.org/specs/eduperson/|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata]] +  * [[https://wiki.refeds.org/display/STAN/eduPerson|eduPerson Schema]] (LDIFs, optional) 
-    * {{de:dfn-aai-attribute-v.1.0.pdf|Deutschsprachiger Überblick aus dem jahr 2008}} +  * **2019** [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]] 
-    * [[https://spaces.internet2.edu/display/macedir/LDIFs|eduPerson Schema]] (LDIFs, optional)+   
 +===== E-Learning und DFN-spezifische Erweiterungen ===== 
 +In den Bereichen E-Learning und Lernmanagementsysteme bestehen speziellere Anforderungen an die inhaltliche Aussagekraft von Attributen. Auch dafür haben wir eine [[de:elearning_attributes|kommentierte Liste]] der DFN-spezifischen und der gängigsten Attribute aus dem Bereich E-Learning.
  
-==== E-Learning ==== +Die einschlägigen Schemata sind unter folgenden Links zu finden: 
-  * **SCHAC** (**SCH**ema for **AC**ademia)+  * **SCHAC** (SCHema for ACademia)
     * [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|Offizielle Dokumentation]] (REFEDS, bitte auch die Seite [[https://wiki.refeds.org/display/STAN/SCHAC_1.5.0_issues|SCHAC_1.5.0_issues]] beachten)     * [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|Offizielle Dokumentation]] (REFEDS, bitte auch die Seite [[https://wiki.refeds.org/display/STAN/SCHAC_1.5.0_issues|SCHAC_1.5.0_issues]] beachten)
     * [[http://davestechnology.blogspot.de/2012/12/eduperson-aueduperson-schac-schema-for.html|Inoffizielle Variante des SCHAC-Schemas für Active Directory]] (optional)     * [[http://davestechnology.blogspot.de/2012/12/eduperson-aueduperson-schac-schema-for.html|Inoffizielle Variante des SCHAC-Schemas für Active Directory]] (optional)
-  * **dfnEduPerson** ergänzt das eduPerson-Schema um spezifische Attribute für den Deutschen Hochschulbereich +  * **dfnEduPerson** ergänzt das eduPerson-Schema um spezifische Attribute für den Deutschen Hochschul- und Bibliotheksbereich 
-    * Zu den benötigten Kennziffern siehe die aktuellen [[https://www.destatis.de/DE/Methoden/Klassifikationen/BildungKultur/Content75/SystematikenHochschulen.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]] +    * Zu den benötigten Kennziffern siehe die aktuellen [[https://www.destatis.de/DE/Methoden/Klassifikationen/_inhalt.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]] (dort unter "Weitere Klassifikationen, Verzeichnisse, Systematiken") 
-    * Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:dfneduperson_oids|einen eigenen Bereich festgelegt]] +    * Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:aai:oid|einen eigenen Bereich festgelegt]] 
-    * {{de:dfneduperson-1.1.schema.txt|dfnEduPerson-Schema}} für LDAP (optional) +    * dfnEduPerson-Schema für LDAP (optional) und inoffizielle Version des dfnEduPerson-Schemas für Active Directory (optional) liegen unter https://download.aai.dfn.de/schema/ 
-    * Inoffizielle Version des {{de:dfneduperson-1.0.ad.ldf.txt|dfnEduPerson-Schemas für Active Directory}} (optional) +    Transcoding Properties für Shibboleth IdP >= 4.0 liegen unter https://download.aai.dfn.de/schema/dfnEduPerson.xml
-  Kommentierte [[de:elearning_attributes|Liste der gängigsten Attribute für den Bereich E-Learning]]+
  
-==== E-Research / Forschungsinfrastrukturen ==== 
-Nationale und internationale Forschungsprojekte nutzen in zunehmendem Maße zentrale Dienste, die über "Federated Login" bzw. SAML-basiertes Web-Single-Sign-On zugänglich sind. Um im Sinne guter wissenschaftlicher Praxis einzelne Beiträge eindeutig einem Nutzer zuordnen zu können, müssen in der Regel Attribute mit personenbezogenen Angaben an den jeweiligen Service Provider übertragen werden. 
  
-Ein weiterer Anwendungsfall sind sog. Attribute Authoritiesüber die Community- bzwProjekt-spezifische Attribute abgerufen werden könnenUm das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und diesen Attributen herzustellenist ein global gültiger, eindeutiger Identifier erforderlich, z.BeduPersonPrincipalName, E-Mail-Adresse oder eduPersonUniqueId. Zu technischen Details siehe die betreffenden Seiten im [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN-]] sowie im [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki]].+===== Virtuelle Organisationen ===== 
 + 
 +Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://aarc-project.eu/architecture/|AARC Blueprint Architecture]] betreibenwurde 2018 das [[https://github.com/voperson/voperson/blob/master/voPerson.md|voPerson Schema]] definiert. 
 + 
 +Diverse voPerson-Attribute/-Claims sind Bestandteil der verpflichtenden [[https://codebase.helmholtz.cloud/m-team/nfdi/nfdi-policies/-/jobs/artifacts/v0.9.1/raw/04_IAP.pdf?job=build-docs|Attribut-Profile]] in der [[https://doc.nfdi-aai.de|NFDI-AAI]]. 
 + 
 +{{tag>attribute}}
  
-Bezüglich Datenschutz gelten auch hier die bereits zum Thema E-Learning geäußerten grundsätzlichen Bemerkungen (siehe oben). Konsultieren Sie im Zweifelsfall den/die Datenschutzbeauftragte(n) Ihrer Heimateinrichtung. In jedem Fall empfiehlt sich auf IdP-Seite der Einsatz von User-Consent Modulen. Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA]], eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter [[https://wiki.aai.dfn.de/de:entity_attributes|Entity Attribute]] sowie unter [[de:shibidp3attrfilter|Attribut-Konfiguration für E-Research SPs]]. \\ 
-Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des //Code of Conduct// finden sich [[https://wiki.refeds.org/display/CODE/What+attributes+are+relevant+for+a+Service+Provider|REFEDS-Wiki]]. 
  • Zuletzt geändert: vor 7 Jahren