| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:entity_attributes [2020/01/27 14:57] – Wolfgang Pempe | de:entity_attributes [2020/04/21 11:43] – Silke Meyer |
|---|
| ~~NOTOC~~ | ~~NOTOC~~ |
| ====== Entity Attribute ====== | ====== Entity Attributes ====== |
| {{INLINETOC 2}} | {{INLINETOC 2}} |
| Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten, die es ermöglicht, Entities (IdPs, Attribute Authorities, SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit), mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:de:shibidp3attrfilter|Attribut-Konfiguration]]. | Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten, die es ermöglicht, Entities (IdPs, Attribute Authorities, SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit), mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:de:shibidp3attrfilter|Attribut-Konfiguration]]. |
| Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]] und hier im Wiki unter [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Incident Response]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: | Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]] und hier im Wiki unter [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Incident Response]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: |
| - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen | - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen |
| - Außerdem muss die SSL-Konfiguration des betreffenden Webservers aktuellen Best Practices entsprechen. (Derzeit ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] zur Prüfung heran. **Aktueller Hinweis:** Ab Ende Januar 2020 vergibt SSLLabs [[https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-1-1-protocols|keine A-Bewertung mehr für Webserver, die noch TLS 1.0 und TLS 1.1 unterstützen]].) | - Außerdem muss die SSL-Konfiguration des betreffenden Webservers aktuellen Best Practices entsprechen. (Derzeit ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] zur Prüfung heran. **Aktueller Hinweis:** Ab Ende Januar 2020 vergibt SSLLabs [[https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-1-1-protocols|keine A-Bewertung mehr für Webserver, die noch TLS 1.0 und TLS 1.1 unterstützen]]. Bitte aktualisieren Sie ggf. Ihre Konfiguration bis zum **31.03.2020**, um das Sirtfi-Attribut weiterhin zu tragen.) |
| Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[de:aai:incidentresponse|Incident Response]]. | Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[de:aai:incidentresponse|Incident Response]]. |
| <file xml dfn-aai-edugain+sp-metadata.xml> | <file xml dfn-aai-edugain+sp-metadata.xml> |
| * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] | * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] |
| * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] | * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] |
| | * [[de:aai:ec_highmeducation-member|http://aai.dfn.de/category/highmeducation-member]] |
| * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] | * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] |
| |