Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:entity_attributes [2018/10/17 10:18] – [Sirtfi (Security Incident Response Trust Framework for Federated Identity)] Wolfgang Pempe | de:entity_attributes [2019/07/18 11:03] – Wolfgang Pempe |
---|
==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== | ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== |
| |
Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]]. Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüfen wir zwei technische Kriterien, bevor wir die entsprechende Checkbox freigeben: Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen. Außerdem muss die SSL-Konfiguration des betreffenden Webservers aktuellen Best Practice entsprechen. (Derzeit ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] zur Prüfung heran.) | Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: |
| - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen |
| - Außerdem muss die SSL-Konfiguration des betreffenden Webservers aktuellen Best Practices entsprechen. (Derzeit ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] zur Prüfung heran.) |
| Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[de:aai:incidentresponse|Incident Response]]. |
<file xml dfn-aai-edugain+sp-metadata.xml> | <file xml dfn-aai-edugain+sp-metadata.xml> |
<md:EntityDescriptor entityID="https://cern.ch/login" xsi:schemaLocation="urn:oasis:names:tc:SAML:2.0:metadata saml-schema-metadata-2.0.xsd urn:mace:shibboleth:metadata:1.0 shibboleth-metadata-1.0.xsd http://www.w3.org/2000/09/xmldsig# xmldsig-core-schema.xsd"> | <md:EntityDescriptor entityID="https://cern.ch/login" xsi:schemaLocation="urn:oasis:names:tc:SAML:2.0:metadata saml-schema-metadata-2.0.xsd urn:mace:shibboleth:metadata:1.0 shibboleth-metadata-1.0.xsd http://www.w3.org/2000/09/xmldsig# xmldsig-core-schema.xsd"> |
Das Entity Attribut **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] | Das Entity Attribut **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] |
| |
| ==== International ==== |
**International** kommen vor allem diese Entity Categories zum Einsatz: | **International** kommen vor allem diese Entity Categories zum Einsatz: |
| |
* [[:de:shibidp3attrfilter#attributfreigabe_fuer_code-of-conduct_sps|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA]] | * [[:de:shibidp3attrfilter#attributfreigabe_fuer_code-of-conduct_sps|GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA]] |
* [[:de:shibidp3attrfilter#refeds_research_and_scholarship_entity_category|Research and Scholarship]] | * [[:de:shibidp3attrfilter#refeds_research_and_scholarship_entity_category|Research and Scholarship]] |
* [[https://refeds.org/category/hide-from-discovery|Hide from Discovery (nur IdPs)]] | * [[https://refeds.org/category/hide-from-discovery|Hide from Discovery (nur IdPs)]] |
| |
| In der DFN-AAI **Metadatenverwaltung** tauchen die entsprechenden Checkboxen erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt. |
| * Für die Entity Category für den GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA sind die Bedingungen im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr mdui:PrivacyStatementURL auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein. |
| * Für die Entity Category Research and Scholarship finden Sie bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5). |
| |
=== Beispiele === | === Beispiele === |
</file> | </file> |
| |
| ==== DFN-AAI ==== |
In der **DFN-AAI** kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. virtuelle Subföderationen zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: | In der **DFN-AAI** kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. virtuelle Subföderationen zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: |
| |
* [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]] | * [[de:aai:ec_bwidm-member|http://aai.dfn.de/category/bwidm-member]] |
* [[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]] | * [[de:aai:ec_clarin-member|http://clarin.eu/category/clarin-member]] |
* [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]] | * [[de:aai:ec_ndsidm-member|http://aai.dfn.de/category/ndsidm-member]] |
* [[http://aai.dfn.de/category/vetmed-member|http://aai.dfn.de/category/vetmed-member]] | * [[de:aai:ec_vetmed-member|http://aai.dfn.de/category/vetmed-member]] |
* [[http://aai.dfn.de/category/vhb-member|http://aai.dfn.de/category/vhb-member]] | * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] |
* [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]] | * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] |
* [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]] | * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] |
| |
Implementierungswünsche für weitere Entity Categories richten Sie bitte an hotline@aai.dfn.de | Implementierungswünsche für weitere Entity Categories richten Sie bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. |
| |
=== Beispiele (Metadaten) === | === Beispiele (Metadaten) === |