| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:attributes [2020/04/16 17:14] – [E-Research / Forschungsinfrastrukturen] Silke Meyer | de:attributes [2024/02/19 16:59] (aktuell) – Wolfgang Pempe |
|---|
| <callout color="#ff9900" title="Attribute, die jeder IdP unterstützen sollte"> | <callout color="#ff9900" title="Attribute, die jeder IdP unterstützen sollte"> |
| Bitte schauen Sie sich unsere [[de:common_attributes|kommentierte Liste]] an, die die Attribute zeigt, die jeder Identity Provider für einen reibungslosen Betrieb liefern können sollte. | Bitte schauen Sie sich unsere [[de:common_attributes|kommentierte Liste]] an, die die Attribute zeigt, die jeder Identity Provider für einen reibungslosen Betrieb liefern können sollte. |
| | |
| | \\ |
| | **Shibboleth IdP 4.x:** Transcoding Properties, die nicht im Lieferumfang enthalten sind: [[de:shibidp:config-attributes#dfneduperson-schema_einbinden|dfnEduPerson]] (dfnEduPerson Schema, s.u.) und [[de:shibidp:dfn_misc_transcoder|dfnMisc]] (weitere häufiger genutzte Attribute). |
| </callout> | </callout> |
| |
| Weitere Informationen zu den Schemata bzw. Klassen finden Sie hier: | Weitere Informationen zu den Schemata bzw. Klassen finden Sie hier: |
| * [[https://wiki.refeds.org/x/RYAEAw|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata bzw. Klassen]] | * [[https://wiki.refeds.org/display/STAN/eduPerson+%28202208%29+v4.4.0|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata bzw. Klassen]] |
| * [[https://spaces.internet2.edu/display/macedir/LDIFs|eduPerson Schema]] (LDIFs, optional) | * [[https://wiki.refeds.org/display/STAN/eduPerson|eduPerson Schema]] (LDIFs, optional) |
| * **2019** [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]] | * **2019** [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]] |
| | |
| ===== E-Learning und DFN-spezifische Erweiterungen ===== | ===== E-Learning und DFN-spezifische Erweiterungen ===== |
| In den Bereichen E-Learning und Lernmanagementsysteme bestehen speziellere Anforderungen an die inhaltliche Aussagekraft von Attributen. Auch dafür haben wir eine kommentierte [[de:elearning_attributes|Liste]] der DFN-spezifischen und der gängigsten Attribute aus dem Bereich E-Learning. | In den Bereichen E-Learning und Lernmanagementsysteme bestehen speziellere Anforderungen an die inhaltliche Aussagekraft von Attributen. Auch dafür haben wir eine [[de:elearning_attributes|kommentierte Liste]] der DFN-spezifischen und der gängigsten Attribute aus dem Bereich E-Learning. |
| |
| Die einschlägigen Schemata sind unter folgenden Links zu finden: | Die einschlägigen Schemata sind unter folgenden Links zu finden: |
| * SCHAC (SCHema for ACademia) | * **SCHAC** (SCHema for ACademia) |
| * [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|Offizielle Dokumentation]] (REFEDS, bitte auch die Seite [[https://wiki.refeds.org/display/STAN/SCHAC_1.5.0_issues|SCHAC_1.5.0_issues]] beachten) | * [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|Offizielle Dokumentation]] (REFEDS, bitte auch die Seite [[https://wiki.refeds.org/display/STAN/SCHAC_1.5.0_issues|SCHAC_1.5.0_issues]] beachten) |
| * [[http://davestechnology.blogspot.de/2012/12/eduperson-aueduperson-schac-schema-for.html|Inoffizielle Variante des SCHAC-Schemas für Active Directory]] (optional) | * [[http://davestechnology.blogspot.de/2012/12/eduperson-aueduperson-schac-schema-for.html|Inoffizielle Variante des SCHAC-Schemas für Active Directory]] (optional) |
| * dfnEduPerson ergänzt das eduPerson-Schema um spezifische Attribute für den Deutschen Hochschul- und Bibliotheksbereich | * **dfnEduPerson** ergänzt das eduPerson-Schema um spezifische Attribute für den Deutschen Hochschul- und Bibliotheksbereich |
| * Zu den benötigten Kennziffern siehe die aktuellen [[https://www.destatis.de/DE/Methoden/Klassifikationen/_inhalt.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]] (dort unter "Weitere Klassifikationen, Verzeichnisse, Systematiken") | * Zu den benötigten Kennziffern siehe die aktuellen [[https://www.destatis.de/DE/Methoden/Klassifikationen/_inhalt.html|Systematiken in der Hochschulstatistik des Statistischen Bundesamts]] (dort unter "Weitere Klassifikationen, Verzeichnisse, Systematiken") |
| * Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:dfneduperson_oids|einen eigenen Bereich festgelegt]] | * Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID [[de:aai:oid|einen eigenen Bereich festgelegt]] |
| * dfnEduPerson-Schema für LDAP (optional) und inoffizielle Version des dfnEduPerson-Schemas für Active Directory (optional) liegen unter https://download.aai.dfn.de/schema/ | * dfnEduPerson-Schema für LDAP (optional) und inoffizielle Version des dfnEduPerson-Schemas für Active Directory (optional) liegen unter https://download.aai.dfn.de/schema/ |
| | * Transcoding Properties für Shibboleth IdP >= 4.0 liegen unter https://download.aai.dfn.de/schema/dfnEduPerson.xml |
| |
| ===== E-Research / Forschungsinfrastrukturen ===== | |
| FIXME (Das steht schon mind. 2x woanders hier im Wiki.) | |
| Nationale und internationale Forschungsprojekte nutzen in zunehmendem Maße zentrale Dienste, die über "Federated Login" bzw. SAML-basiertes Web-Single-Sign-On zugänglich sind. Um im Sinne guter wissenschaftlicher Praxis einzelne Beiträge eindeutig einem Nutzer zuordnen zu können, müssen in der Regel Attribute mit personenbezogenen Angaben an den jeweiligen Service Provider übertragen werden. Siehe hierzu auch unter [[de:shibidp3attrfilter|Attribut-Konfiguration für E-Research SPs]]. | |
| |
| Ein weiterer Anwendungsfall sind sog. Attribute Authorities, über die Community- bzw. Projekt-spezifische Attribute abgerufen werden können. Um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und diesen Attributen herzustellen, ist ein global gültiger, eindeutiger Identifier erforderlich, z.B. [[de:common_attributes#a07|eduPersonPrincipalName]], [[de:common_attributes#a05|E-Mail-Adresse]] oder [[de:common_attributes#a12|eduPersonUniqueId]]. Zu technischen Details siehe auch die betreffenden Seiten im [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN-]] sowie im [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki]]. | |
| |
| ===== Virtuelle Organisationen ===== | ===== Virtuelle Organisationen ===== |
| FIXME | |
| |
| Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://aarc-project.eu/architecture/|AARC Blueprint Architecture]] betreiben, wurde 2018 das [[https://github.com/voperson/voperson/blob/master/voPerson.md|voPerson Schema]] definiert. | Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://aarc-project.eu/architecture/|AARC Blueprint Architecture]] betreiben, wurde 2018 das [[https://github.com/voperson/voperson/blob/master/voPerson.md|voPerson Schema]] definiert. |
| |
| | Diverse voPerson-Attribute/-Claims sind Bestandteil der verpflichtenden [[https://codebase.helmholtz.cloud/m-team/nfdi/nfdi-policies/-/jobs/artifacts/v0.9.1/raw/04_IAP.pdf?job=build-docs|Attribut-Profile]] in der [[https://doc.nfdi-aai.de|NFDI-AAI]]. |
| |
| ===== Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI ===== | {{tag>attribute}} |
| <callout type="danger" title="Work in Progress"> | |
| Diese Liste ist noch im Aufbau begriffen! | |
| </callout> | |
| |
| Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich [[de:shibidp3attributes-aaiplus|hier]]. | |
| |
| | **1. Name Identifier und funktionsanaloge Attribute** \\ (siehe hierzu auch [[https://saml2int.org/|SAML2int Profile V2.0]], Abschnitt "3.1.3. Subject Identification") || | |
| ^ 1.1 Omni-directional, non-targeted ^^ | |
| | ''urn:oasis:names:tc:SAML:attribute:subject-id'' [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Doku]]| empfohlen | | |
| | ''eduPersonUniqueId'' [[de:common_attributes#a12|Doku]] | deprecated - Wert muss identisch mit subject-id sein | | |
| | <del>''eduPersonPrincipalName''</del> | nicht verwenden! | | |
| | <del>''mail''</del> | nicht zur Identifizierung verwenden! | | |
| ^ 1.2 Pairwise / targeted ^^ | |
| | ''urn:oasis:names:tc:SAML:attribute:pairwise-id'' [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Doku]] | empfohlen - Stored Id!| | |
| | ''eduPersonTargetedID'' [[de:common_attributes#a11|Doku]] | deprecated - Wert muss identisch mit pairwise-id sein | | |
| | ''persistent Id'' (SAML2 Name ID) | deprecated - Wert muss identisch mit pairwise-id sein | | |
| ^ 1.3 Sonstige ^^ | |
| | ''transient Id'' ( SAML2 Name ID) | empfohlen (für Logout benötigt) | | |
| ^ 2. Personennamen ^^ | |
| | ''displayName'' [[de:common_attributes#a02|Doku]] | empfohlen | | |
| ^ 3. E-Mail-Adresse(n) - nicht als Identifier verwenden! ^^ | |
| | ''mail'' [[de:common_attributes#a05|Doku]] | empfohlen (idealerweise **ein** Wert) | | |
| ^ 4. Name der Heimateinrichtung ^^ | |
| | ''schacHomeOrganization'' **und** ''o'' [[de:common_attributes#a06|Doku]] | empfohlen | | |
| ^ 5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen ^^ | |
| | ''eduPersonAssurance'' [[de:common_attributes#a14|Doku]] | siehe [[https://refeds.org/assurance|REFEDS Assurance Framework]] | | |
| | ''eduPersonEntitlement'' [[de:common_attributes#a10|Doku]] || | |
| | ''eduPersonOrcid'' [[de:common_attributes#a13|Doku]] | bleibt ggf. leer | | |
| | ''eduPersonScopedAffiliation'' [[de:common_attributes#a09|Doku]] || | |
| | ''schacUserStatus'' [[de:common_attributes#a15|Doku]] | insbes. zur [[de:shibidp3userdepro|SP-seitigen Deprovisionierung]]| | |
| |
| <callout color="#ff9900"> | |
| ===== Hinweise zum Datenschutz ===== | |
| * Identity Provider sollten zwar grundsätzlich in der Lage sein, einen [[de:common_attributes|emfohlenen Mindestsatz an Attributen]] zu generieren und zu übertragen, was aber nicht heißt, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten! | |
| * Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -Bestimmungen erfolgen. Insbesondere gilt das Prinzip der Datensparsamkeit, d.h. es sollten nur die Attribute und Attributwerte übertragen werden, die zur Nutzung der jeweiligen Anwendung bzw. Infrastruktur tatsächlich erforderlich sind. | |
| * Konsultieren Sie hierzu den/die Datenschutzbeauftragte(n) Ihrer Heimateinrichtung. | |
| * Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges //User Consent// Modul zum Einsatz kommen, das es den Nutzern ermöglicht, die zu übertragenden Attribute und Attributwerte zu kontrollieren und die Übertragung ggf. zu unterbinden. Siehe hierzu auch die Seite [[de:shibidp3consent_dsgvo|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]]. | |
| * Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA]], eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter [[https://wiki.aai.dfn.de/de:entity_attributes|Entity Attribute]] sowie unter [[de:shibidp3attrfilter|Attribut-Konfiguration für E-Research SPs]]. \\ Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des //Code of Conduct// finden sich [[https://wiki.refeds.org/display/CODE/What+attributes+are+relevant+for+a+Service+Provider|REFEDS-Wiki]]. | |
| </callout> | |