| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:entity_attributes [2020/03/27 09:39] – Wolfgang Pempe | de:entity_attributes [2020/04/21 13:23] – Silke Meyer |
|---|
| ~~NOTOC~~ | ====== Entity Attributes ====== |
| ====== Entity Attribute ====== | <callout color="#ff9900" title="Entity Attributes?"> |
| {{INLINETOC 2}} | Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um zugriffsberechtigte IdPs festzumachen. |
| Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten, die es ermöglicht, Entities (IdPs, Attribute Authorities, SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit), mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:de:shibidp3attrfilter|Attribut-Konfiguration]]. | </callout> |
| |
| Der betreffende Standard ist hier dokumentiert: [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|SAML V2.0 Metadata Extension for Entity Attributes]] | ===== Einsatzszenarien ===== |
| | |
| ===== Beispiele ===== | |
| |
| ==== Verlässlichkeitsklasse des IdP ==== | ==== Verlässlichkeitsklasse des IdP ==== |
| | |
| Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt. | Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt. |
| | |
| <file xml dfn-aai-idp-metadata.xml> | <file xml dfn-aai-idp-metadata.xml> |
| <md:EntityDescriptor entityID="https://idp.scc.kit.edu/idp/shibboleth"> | <md:EntityDescriptor entityID="https://idp.scc.kit.edu/idp/shibboleth"> |
| </md:Extensions> | </md:Extensions> |
| </file> | </file> |
| ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== | |
| Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]] und hier im Wiki unter [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Incident Response]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: | ==== Sirtfi ==== |
| - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen | |
| - Außerdem muss die SSL-Konfiguration des betreffenden Webservers aktuellen Best Practices entsprechen. (Derzeit ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] zur Prüfung heran. **Aktueller Hinweis:** Ab Ende Januar 2020 vergibt SSLLabs [[https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-1-1-protocols|keine A-Bewertung mehr für Webserver, die noch TLS 1.0 und TLS 1.1 unterstützen]]. Bitte aktualisieren Sie ggf. Ihre Konfiguration bis zum **31.03.2020**, um das Sirtfi-Attribut weiterhin zu tragen.) | <callout color="#ff9900" title="Sirtfi"> |
| | Dieses seltsame Wort wird "certify" ausgesprochen. Es steht für "Security Incident Response Trust Framework for Federated Identity". Dieses Entity Attribut bezeugt die Bereitschaft und Fähigkeit des IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|die REFEDS-Website]] und unsere Dokumentation zu [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Sirtfi Compliance in der DFN-AAI]]. |
| | </callout> |
| | |
| | Das Sirtfi Entity Attribut darf nur unter den im Framework festgelegten Bedingungen geführt werden. Wir prüfen folgende formale und technische Kriterien, bevor wir die entsprechende Checkbox freigeben: |
| | - In den Metadaten muss ein Security-Kontakt benannt sein. Dabei muss es sich um eine Funktionsadresse handeln, keine persönliche E-Mail-Adresse. |
| | - Wir setzen voraus, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen. |
| | - Die SSL-Konfiguration des Webservers muss aktueller Best Practice entsprechen. Dazu ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] heran. |
| Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[de:aai:incidentresponse|Incident Response]]. | Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[de:aai:incidentresponse|Incident Response]]. |
| | |
| <file xml dfn-aai-edugain+sp-metadata.xml> | <file xml dfn-aai-edugain+sp-metadata.xml> |
| <md:EntityDescriptor entityID="https://cern.ch/login" xsi:schemaLocation="urn:oasis:names:tc:SAML:2.0:metadata saml-schema-metadata-2.0.xsd urn:mace:shibboleth:metadata:1.0 shibboleth-metadata-1.0.xsd http://www.w3.org/2000/09/xmldsig# xmldsig-core-schema.xsd"> | <md:EntityDescriptor entityID="https://cern.ch/login" xsi:schemaLocation="urn:oasis:names:tc:SAML:2.0:metadata saml-schema-metadata-2.0.xsd urn:mace:shibboleth:metadata:1.0 shibboleth-metadata-1.0.xsd http://www.w3.org/2000/09/xmldsig# xmldsig-core-schema.xsd"> |
| </file> | </file> |
| |
| ===== Entity Categories ===== | ====== Entity Categories ====== |
| Das [[#entity_attribute|Entity Attribut]] **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] | Das [[#entity_attribute|Entity Attribut]] **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] |
| |
| * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] | * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] |
| * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] | * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] |
| * [[de:aai:ec_highmed-member|http://aai.dfn.de/category/highmeducation-member]] | * [[de:aai:ec_highmeducation-member|http://aai.dfn.de/category/highmeducation-member]] |
| * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] | * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] |
| |