| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:entity_attributes [2020/01/27 15:27] – [Sirtfi (Security Incident Response Trust Framework for Federated Identity)] Silke Meyer | de:entity_attributes [2020/04/21 11:56] – Silke Meyer |
|---|
| ~~NOTOC~~ | ====== Entity Attributes ====== |
| ====== Entity Attribute ====== | <callout color="#ff9900" title="Entity Attributes?"> |
| {{INLINETOC 2}} | Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um zugriffsberechtigte IdPs festzumachen. |
| Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten, die es ermöglicht, Entities (IdPs, Attribute Authorities, SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit), mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:de:shibidp3attrfilter|Attribut-Konfiguration]]. | </callout> |
| |
| Der betreffende Standard ist hier dokumentiert: [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|SAML V2.0 Metadata Extension for Entity Attributes]] | ===== Einsatzszenarien ===== |
| | |
| ===== Beispiele ===== | |
| |
| ==== Verlässlichkeitsklasse des IdP ==== | ==== Verlässlichkeitsklasse des IdP ==== |
| | |
| Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt. | Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt. |
| <file xml dfn-aai-idp-metadata.xml> | <file xml dfn-aai-idp-metadata.xml> |
| </md:Extensions> | </md:Extensions> |
| </file> | </file> |
| ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== | |
| | ==== Sirtfi ==== |
| Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]] und hier im Wiki unter [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Incident Response]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: | Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]] und hier im Wiki unter [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Incident Response]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: |
| - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen | - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen |
| </file> | </file> |
| |
| ===== Entity Categories ===== | ====== Entity Categories ====== |
| Das [[#entity_attribute|Entity Attribut]] **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] | Das [[#entity_attribute|Entity Attribut]] **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] |
| |
| * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] | * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] |
| * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] | * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] |
| | * [[de:aai:ec_highmeducation-member|http://aai.dfn.de/category/highmeducation-member]] |
| * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] | * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] |
| |