Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
de:entity_attributes [2020/10/09 16:41]
Wolfgang Pempe [Entity Categories in der DFN-AAI]
de:entity_attributes [2020/10/09 16:50] (aktuell)
Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Entity Attributes ====== ====== Entity Attributes ======
-<callout color="#ff9900" title="Entity Attributes?"> + 
-Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um zugriffsberechtigte IdPs festzumachen. +<callout color="#ff9900" title="Entity Attributes?"> Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um zugriffsberechtigte IdPs festzumachen. </callout>
-</callout>+
  
 ===== Verlässlichkeitsklasse des IdP ===== ===== Verlässlichkeitsklasse des IdP =====
  
-Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt.+Über dieses Entity Attribut wird die [[:de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt.
  
 <file xml dfn-aai-idp-metadata.xml> <file xml dfn-aai-idp-metadata.xml>
Zeile 22: Zeile 21:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </md:Extensions>     </md:Extensions>
 +
 </file> </file>
  
 ===== Sirtfi ===== ===== Sirtfi =====
  
-<callout color="#ff9900" title="Sirtfi"> +<callout color="#ff9900" title="Sirtfi"> Dieses seltsame Wort wird "certify" ausgesprochen. Es steht für "Security Incident Response Trust Framework for Federated Identity". Dieses Entity Attribut bezeugt die Bereitschaft und Fähigkeit des IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|die REFEDS-Website]] und unsere Dokumentation zu [[:de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Sirtfi Compliance in der DFN-AAI]]. </callout>
-Dieses seltsame Wort wird "certify" ausgesprochen. Es steht für "Security Incident Response Trust Framework for Federated Identity". Dieses Entity Attribut bezeugt die Bereitschaft und Fähigkeit des IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|die REFEDS-Website]] und unsere Dokumentation zu [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Sirtfi Compliance in der DFN-AAI]]. +
-</callout>+
  
 Das Sirtfi Entity Attribut darf nur unter den im Framework festgelegten Bedingungen geführt werden. Wir prüfen folgende formale und technische Kriterien, bevor wir die entsprechende Checkbox freigeben: Das Sirtfi Entity Attribut darf nur unter den im Framework festgelegten Bedingungen geführt werden. Wir prüfen folgende formale und technische Kriterien, bevor wir die entsprechende Checkbox freigeben:
 +
   - In den Metadaten muss ein Security-Kontakt benannt sein. Dabei muss es sich um eine Funktionsadresse handeln, keine persönliche E-Mail-Adresse.   - In den Metadaten muss ein Security-Kontakt benannt sein. Dabei muss es sich um eine Funktionsadresse handeln, keine persönliche E-Mail-Adresse.
   - Wir setzen voraus, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen.   - Wir setzen voraus, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen.
-  - Die SSL-Konfiguration des Webservers muss aktueller Best Practice entsprechen. Dazu ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] heran. +  - Die SSL-Konfiguration des Webservers muss aktueller Best Practice entsprechen. Dazu ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] heran.
  
-Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[de:aai:incidentresponse|Incident Response]].+Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[:de:aai:incidentresponse|Incident Response]].
  
 <file xml dfn-aai-edugain+sp-metadata.xml> <file xml dfn-aai-edugain+sp-metadata.xml>
Zeile 51: Zeile 50:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </md:Extensions>     </md:Extensions>
 +
 </file> </file>
  
 ====== Entity Categories ====== ====== Entity Categories ======
 +
 Eine Entity Category ist genau genommen auch ein Entity Attribut. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen. Eine Entity Category ist genau genommen auch ein Entity Attribut. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
  
Zeile 66: Zeile 67:
 Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend den geltenden Datenschutzrichtlinien behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]]. Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend den geltenden Datenschutzrichtlinien behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]].
  
-Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr ''mdui:PrivacyStatementURL'' auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein. +Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr ''mdui:PrivacyStatementURL''  auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein.
  
-IdPs, die für Code of Conduct-SPs pauschal eine feste Attributliste freigeben möchten, sollten [[de:shibidp:config-attributes-coco|folgende Filterregel]] haben.+IdPs, die für Code of Conduct-SPs pauschal eine feste Attributliste freigeben möchten, sollten [[:de:shibidp:config-attributes-coco|folgende Filterregel]] haben.
  
 ==== Research and Scholarship ==== ==== Research and Scholarship ====
  
-Die Entity Category Research and Scholarship können Service Provider setzen, deren Dienst die Zusammenarbeit oder das Management in den Bereichen Forschung und Bildung unterstützt. +Die Entity Category Research and Scholarship können Service Provider setzen, deren Dienst die Zusammenarbeit oder das Management in den Bereichen Forschung und Bildung unterstützt. Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
-Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).+
  
-Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert.+Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert.
  
 ==== Hide from Discovery ==== ==== Hide from Discovery ====
 +
 Die Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] für IdPs haben wir derzeit nicht in der Metadatenverwaltung implementiert. SPs sollten dennoch so konfiguriert sein, dass Sie die Entity Category unterstützen. Die Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] für IdPs haben wir derzeit nicht in der Metadatenverwaltung implementiert. SPs sollten dennoch so konfiguriert sein, dass Sie die Entity Category unterstützen.
  
Zeile 99: Zeile 100:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
Zeile 119: Zeile 121:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
Zeile 125: Zeile 128:
 <callout color="#ff9900" title="Eigene Entity Category?"> Implementierungswünsche für weitere Entity Categories richten Sie bitte an [[hotline@aai.dfn.de|]]. </callout> <callout color="#ff9900" title="Eigene Entity Category?"> Implementierungswünsche für weitere Entity Categories richten Sie bitte an [[hotline@aai.dfn.de|]]. </callout>
  
-In der DFN-AAI kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben:+In der DFN-AAI kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen**  zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: 
 + 
 +  * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]] 
 +  * [[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]] 
 +  * [[http://aai.dfn.de/category/highmeducation-member|http://aai.dfn.de/category/highmeducation-member]] 
 +  * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]] 
 +  * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]] 
 +  * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]] 
 +  * [[http://aai.dfn.de/category/vetmed-member|http://aai.dfn.de/category/vetmed-member]] 
 +  * [[http://aai.dfn.de/category/vhb-member|http://aai.dfn.de/category/vhb-member]]
  
 Details hierzu finden sich auf einer [[:de:aai:entity_categories|separaten Übersichtsseite]]. Details hierzu finden sich auf einer [[:de:aai:entity_categories|separaten Übersichtsseite]].
- 
-^Wert^Beschreibung| 
-|[[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]|Verfügbar für Einrichtungen, die am [[https://www.bwidm.de|bwIdM-Verbund]] (Baden-Württemberg) teilnehmen. Informationen zu Teilnahme, technischen Voraussetzungen und Rahmenbedingungen unter [[https://www.bwidm.de|https://www.bwidm.de]]| 
-|[[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]]|Wird automatisch für alle Service Provider gesetzt, die von [[https://www.clarin.eu|CLARIN-EU]] betrieben werden.| 
-|[[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]|Verfügbar für Einrichtungen, die am Nds-AAI Projekt (Niedersachsen) teilnehmen.| 
-|[[http://aai.dfn.de/category/vetmed-member|http://aai.dfn.de/category/vetmed-member]]|Verfügbar für Einrichtungen, die am [[https://www.tiho-hannover.de/studium-lehre/keldat-kompetenzzentrum/|KELDAT-Projekt]] (Tiermedizin) teilnehmen.| 
-|[[http://aai.dfn.de/category/vhb-member|http://aai.dfn.de/category/vhb-member]]|Verfügbar für Trägerhochschulen der Virtuellen Hochschule Bayern. Informationen zu Teilnahme, technischen Voraussetzungen und Rahmenbedingungen unter [[https://www.vhb.org/|https://www.vhb.org/]]| 
-|[[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]|Verfügbar für Mitglieder der Rechenzentrumsallianz Rheinland-Pfalz| 
-|[[http://aai.dfn.de/category/highmeducation-member|http://aai.dfn.de/category/highmeducation-member]]|Verfügbar für Mitglieder des [[https://www.medizininformatik-initiative.de/de/konsortien/highmed|HiGHmed Konsortiums]] ([[https://highmeducation.pages.gwdg.de/metadata/sp.html|Doku für Projektpartner]])| 
-|[[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]|Hiermit werden IdPs gekennzeichnet, die bekanntermaßen allen offenstehen, d.h. auch Nutzer*innen außerhalb von Wissenschaft und Forschung. Eine Identitätsprüfung findet i.d.R. nicht statt. Die Vergabe dieser Entity Category wird über eine manuell gepflegte Blacklist gesteuert. Hinweise auf IdPs, die dieser Kategorie zuzuordnen sind, richten Sie bitte an [[hotline@aai.dfn.de|]].| 
- 
  
 ==== Beispiele (Metadaten) ==== ==== Beispiele (Metadaten) ====
Zeile 157: Zeile 158:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
Zeile 177: Zeile 179:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
Zeile 194: Zeile 197:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </md:Extensions>     </md:Extensions>
 +
 </file> </file>
  
Zeile 215: Zeile 219:
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
 +
 </file> </file>
  
Zeile 234: Zeile 239:
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
 +
 </file> </file>
  
Zeile 250: Zeile 256:
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
 +
 </file> </file>
  
Zeile 271: Zeile 278:
    </AttributeRule>    </AttributeRule>
 </AttributeFilterPolicy> </AttributeFilterPolicy>
 +
 </file> </file>
  
Zeile 276: Zeile 284:
  
 ===== Referenzen ===== ===== Referenzen =====
 +
 Weiterführende Informationen finden Sie im Shibboleth Wiki unter folgenden Links: Weiterführende Informationen finden Sie im Shibboleth Wiki unter folgenden Links:
  
Zeile 290: Zeile 299:
   * **SP - internes Tagging mit Entity Attributen**   * **SP - internes Tagging mit Entity Attributen**
       * [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-EntityAttributesMetadataFilter(Version2.5andAbove)|Entity Attributes Metadata Filter]]       * [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-EntityAttributesMetadataFilter(Version2.5andAbove)|Entity Attributes Metadata Filter]]
- 
 {{tag>entity-category entity-attribute fixme}} {{tag>entity-category entity-attribute fixme}}
 +
 +
  • Zuletzt geändert: vor 3 Wochen