Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:entity_attributes [2021/03/04 12:13] – [Referenzen] Links aktualisiert auf IdP4 und SP3 Silke Meyer | de:entity_attributes [2021/03/14 12:54] – Wolfgang Pempe |
---|
====== Entity Attributes ====== | ====== Entity Attributes ====== |
| |
<callout color="#ff9900" title="Entity Attributes?"> Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um zugriffsberechtigte IdPs festzumachen. </callout> | <callout color="#ff9900" title="Entity Attributes?"> Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um die Gruppe der zugriffsberechtigten IdPs zu definieren. </callout> |
| |
===== Verlässlichkeitsklasse des IdP ===== | ===== Verlässlichkeitsklasse des IdP ===== |
</md:Extensions> | </md:Extensions> |
| |
| </file> |
| |
| ===== SP-seitig benötigte SAML V2.0 Subject Identifier Attribute ===== |
| Die Angabe, ob ein Service Provider eine [[de:common_attributes#a16|Subject Id]] oder eine [[de:common_attributes#a16|Pairwise Id]] (oder eine von beiden) benötigt, erfolgt über ein entsprechendes Entity Attribut. Siehe hierzu die [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation der SAML V2.0 Subject Identifier Attributes]]. \\ |
| Hierzu existiert eine Schaltfläche in der DFN-AAI Metadatenverwaltung: |
| |
| <file xml dfn-aai-sp-metadata.xml> |
| <EntityDescriptor entityID="https://testsp3.aai.dfn.de/shibboleth"> |
| <Extensions> |
| <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2018-01-31T10:16:59Z"> |
| <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/en/join/</mdrpi:RegistrationPolicy> |
| <mdrpi:RegistrationPolicy xml:lang="de">https://www.aai.dfn.de/teilnahme/</mdrpi:RegistrationPolicy> |
| </mdrpi:RegistrationInfo> |
| <mdattr:EntityAttributes> |
| <saml:Attribute Name="urn:oasis:names:tc:SAML:profiles:subject-id:req" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| <saml:AttributeValue>subject-id</saml:AttributeValue> |
| </saml:Attribute> |
| <saml:Attribute Name="http://aai.dfn.de/require-loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| <saml:AttributeValue>basic</saml:AttributeValue> |
| </saml:Attribute> |
| </mdattr:EntityAttributes> |
| </Extensions> |
</file> | </file> |
| |
==== Hide from Discovery ==== | ==== Hide from Discovery ==== |
| |
Die Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] für IdPs haben wir derzeit nicht in der Metadatenverwaltung implementiert. SPs sollten dennoch so konfiguriert sein, dass Sie die Entity Category unterstützen. | Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]]. |
| |
==== Beispiele ==== | ==== Beispiele ==== |
In der DFN-AAI kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: | In der DFN-AAI kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: |
| |
| * [[http://aai.dfn.de/category/aai-plus|http://aai.dfn.de/category/aai-plus]] |
* [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]] | * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]] |
* [[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]] | * [[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]] |