Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:entity_attributes [2020/10/09 08:22] – Wolfgang Pempe | de:entity_attributes [2021/03/14 12:51] – Wolfgang Pempe |
---|
====== Entity Attributes ====== | ====== Entity Attributes ====== |
| |
<callout color="#ff9900" title="Entity Attributes?"> Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um zugriffsberechtigte IdPs festzumachen. </callout> | <callout color="#ff9900" title="Entity Attributes?"> Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um die Gruppe der zugriffsberechtigten IdPs zu definieren. </callout> |
| |
===== Verlässlichkeitsklasse des IdP ===== | ===== Verlässlichkeitsklasse des IdP ===== |
| |
</file> | </file> |
| |
| ===== SP-seitig benötigte SAML V2.0 Subject Identifier Attribute ===== |
| Die Angabe, ob ein Service Provider eine [[de:common_attributes#a16|Subject Id]] oder eine [[de:common_attributes#a16|Pairwise Id]] (oder eine von beiden) benötigt, erfolgt über ein entsprechendes Entity Attribut. Siehe hierzu die [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation der SAML V2.0 Subject Identifier Attributes]]. \\ |
| Hierzu existiert eine Schaltfläche in der DFN-AAI Metadatenverwaltung: |
| |
===== Sirtfi ===== | ===== Sirtfi ===== |
==== Hide from Discovery ==== | ==== Hide from Discovery ==== |
| |
Die Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] für IdPs haben wir derzeit nicht in der Metadatenverwaltung implementiert. SPs sollten dennoch so konfiguriert sein, dass Sie die Entity Category unterstützen. | Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]]. |
| |
==== Beispiele ==== | ==== Beispiele ==== |
In der DFN-AAI kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: | In der DFN-AAI kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: |
| |
^Wert^Beschreibung| | * [[http://aai.dfn.de/category/aai-plus|http://aai.dfn.de/category/aai-plus]] |
|[[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]|Verfügbar für Einrichtungen, die am [[https://www.bwidm.de|bwIdM-Verbund]] (Baden-Württemberg) teilnehmen. Informationen zu Teilnahme, technischen Voraussetzungen und Rahmenbedingungen unter [[https://www.bwidm.de|https://www.bwidm.de]]| | * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]] |
|[[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]]|Wird automatisch für alle Service Provider gesetzt, die von [[https://www.clarin.eu|CLARIN-EU]] betrieben werden.| | * [[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]] |
|[[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]|Verfügbar für Einrichtungen, die am Nds-AAI Projekt (Niedersachsen) teilnehmen.| | * [[http://aai.dfn.de/category/highmeducation-member|http://aai.dfn.de/category/highmeducation-member]] |
|[[http://aai.dfn.de/category/vetmed-member|http://aai.dfn.de/category/vetmed-member]]|Verfügbar für Einrichtungen, die am [[https://www.tiho-hannover.de/studium-lehre/keldat-kompetenzzentrum/|KELDAT-Projekt]] (Tiermedizin) teilnehmen.| | * [[http://aai.dfn.de/category/metavideoportal-member|http://aai.dfn.de/category/metavideoportal-member]] |
|[[http://aai.dfn.de/category/vhb-member|http://aai.dfn.de/category/vhb-member]]|Verfügbar für Trägerhochschulen der Virtuellen Hochschule Bayern. Informationen zu Teilnahme, technischen Voraussetzungen und Rahmenbedingungen unter [[https://www.vhb.org/|https://www.vhb.org/]]| | * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]] |
|[[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]|Verfügbar für Mitglieder der Rechenzentrumsallianz Rheinland-Pfalz| | * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]] |
|[[http://aai.dfn.de/category/highmeducation-member|http://aai.dfn.de/category/highmeducation-member]]|Verfügbar für Mitglieder des [[https://www.medizininformatik-initiative.de/de/konsortien/highmed|HiGHmed Konsortiums]]| | * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]] |
|[[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]|Hiermit werden IdPs gekennzeichnet, die bekanntermaßen allen offenstehen, d.h. auch Nutzer*innen außerhalb von Wissenschaft und Forschung. Eine Identitätsprüfung findet i.d.R. nicht statt. Die Vergabe dieser Entity Category wird über eine manuell gepflegte Blacklist gesteuert. Hinweise auf IdPs, die dieser Kategorie zuzuordnen sind, richten Sie bitte an [[hotline@aai.dfn.de|]].| | * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]] |
| * [[http://aai.dfn.de/category/vetmed-member|http://aai.dfn.de/category/vetmed-member]] |
| * [[http://aai.dfn.de/category/vhb-member|http://aai.dfn.de/category/vhb-member]] |
| |
| Details hierzu finden sich auf einer [[:de:aai:entity_categories|separaten Übersichtsseite]]. |
| |
==== Beispiele (Metadaten) ==== | ==== Beispiele (Metadaten) ==== |
</file> | </file> |
| |
Weitere Beispiele unter [[https://wiki.aai.dfn.de/de:shibidp3attrfilter|Attribut-Konfiguration]]. | Weitere Beispiele unter [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|Attribut-Konfiguration]]. |
| |
===== Referenzen ===== | ===== Referenzen ===== |
| |
* **IdP - Attributfreigabe** | * **IdP - Attributfreigabe** |
* [[https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]] | * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]] |
* [[https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]] | * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]] |
* **IdP - Relying Party Konfiguration** | * **IdP - Relying Party Konfiguration** |
* [[https://wiki.shibboleth.net/confluence/display/IDP30/RelyingPartyConfiguration#RelyingPartyConfiguration-Overrides|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]] | * [[https://wiki.shibboleth.net/confluence/display/IDP4/RelyingPartyConfiguration#RelyingPartyConfiguration-Overrides|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]] |
* **IdP - internes Tagging mit Entity Attributen** | * **IdP - internes Tagging mit Entity Attributen** |
* [[https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributesFilter|Metadata - EntityAttributesFilter]] | * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributesFilter|Metadata - EntityAttributesFilter]] |
* **SP - Metadata Filter (matcher="EntityAttributes")** | * **SP - Metadata Filter (matcher="EntityAttributes")** |
* [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-WhitelistMetadataFilter|Whitelist MetadataFilter]] | * [[https://wiki.shibboleth.net/confluence/display/SP3/IncludeMetadataFilter|IncludeMetadataFilter]] |
* [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-BlacklistMetadataFilter|Blacklist MetadataFilter]] | * [[https://wiki.shibboleth.net/confluence/display/SP3/ExcludeMetadataFilter|Exclude MetadataFilter]] |
* **SP - internes Tagging mit Entity Attributen** | * **SP - internes Tagging mit Entity Attributen** |
* [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-EntityAttributesMetadataFilter(Version2.5andAbove)|Entity Attributes Metadata Filter]] | * [[https://wiki.shibboleth.net/confluence/display/SP3/EntityAttributesMetadataFilter|Entity Attributes Metadata Filter]] |
{{tag>entity-category entity-attribute fixme}} | {{tag>entity-category entity-attribute fixme}} |
| |
| |