| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:entity_attributes [2019/04/30 09:36] – Silke Meyer | de:entity_attributes [2019/08/01 14:49] – [Entity Categories] Wolfgang Pempe |
|---|
| | ~~NOTOC~~ |
| ====== Entity Attribute ====== | ====== Entity Attribute ====== |
| | {{INLINETOC 2}} |
| Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten, die es ermöglicht, Entities (IdPs, Attribute Authorities, SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit), mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:de:shibidp3attrfilter|Attribut-Konfiguration]]. | Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten, die es ermöglicht, Entities (IdPs, Attribute Authorities, SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit), mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:de:shibidp3attrfilter|Attribut-Konfiguration]]. |
| |
| ===== Beispiele ===== | ===== Beispiele ===== |
| |
| ==== eduGAIN Registration Authority ==== | ==== Verlässlichkeitsklasse des IdP ==== |
| | Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt. |
| Hier werden in den eduGAIN-Metadaten die //Registration Authorities// (=Föderationen) angegeben, über die die jeweilige Entity in eduGAIN registriert wurde (für Attributfreigabe ab IdP 3.x obsolet, siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/RegistrationAuthorityConfiguration|Doku im Shibboleth Wiki]]): | <file xml dfn-aai-idp-metadata.xml> |
| | <md:EntityDescriptor entityID="https://idp.scc.kit.edu/idp/shibboleth"> |
| <file xml dfn-aai-edugain+sp-metadata.xml> | |
| <md:EntityDescriptor entityID="https://foodl.org/simplesaml/module.php/saml/sp/metadata.php/saml"> | |
| <md:Extensions> | <md:Extensions> |
| <mdrpi:RegistrationInfo registrationAuthority="http://feide.no/" registrationInstant="2011-05-05T06:16:34Z"> | <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2010-03-15T10:30:11Z"> |
| <mdrpi:RegistrationPolicy xml:lang="en">http://www.feide.no/files/feide/metadata-registration-practice-statement.pdf</mdrpi:RegistrationPolicy> | <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/en/join/</mdrpi:RegistrationPolicy> |
| | <mdrpi:RegistrationPolicy xml:lang="de">https://www.aai.dfn.de/teilnahme/</mdrpi:RegistrationPolicy> |
| </mdrpi:RegistrationInfo> | </mdrpi:RegistrationInfo> |
| <mdattr:EntityAttributes> | <mdattr:EntityAttributes> |
| <saml:Attribute Name="http://aai.dfn.de/edugain/registrationAuthority" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> | <!-- ... --> |
| <saml:AttributeValue>http://feide.no/</saml:AttributeValue> | <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| | <saml:AttributeValue>advanced</saml:AttributeValue> |
| </saml:Attribute> | </saml:Attribute> |
| </mdattr:EntityAttributes> | </mdattr:EntityAttributes> |
| | </md:Extensions> |
| </file> | </file> |
| |
| ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== | ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== |
| |
| Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: | Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: |
| - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen | - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen |
| </file> | </file> |
| |
| ===== Entity Categories ===== | ==== eduGAIN Registration Authority ==== |
| |
| Das Entity Attribut **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] | Hier werden in den eduGAIN-Metadaten die //Registration Authorities// (=Föderationen) angegeben, über die die jeweilige Entity in eduGAIN registriert wurde (für Attributfreigabe ab IdP 3.x obsolet, siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/RegistrationAuthorityConfiguration|Doku im Shibboleth Wiki]]): |
| | |
| | <file xml dfn-aai-edugain+sp-metadata.xml> |
| | <md:EntityDescriptor entityID="https://foodl.org/simplesaml/module.php/saml/sp/metadata.php/saml"> |
| | <md:Extensions> |
| | <mdrpi:RegistrationInfo registrationAuthority="http://feide.no/" registrationInstant="2011-05-05T06:16:34Z"> |
| | <mdrpi:RegistrationPolicy xml:lang="en">http://www.feide.no/files/feide/metadata-registration-practice-statement.pdf</mdrpi:RegistrationPolicy> |
| | </mdrpi:RegistrationInfo> |
| | <mdattr:EntityAttributes> |
| | <saml:Attribute Name="http://aai.dfn.de/edugain/registrationAuthority" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| | <saml:AttributeValue>http://feide.no/</saml:AttributeValue> |
| | </saml:Attribute> |
| | </mdattr:EntityAttributes> |
| | </file> |
| | |
| | ===== Entity Categories ===== |
| | Das [[#entity_attribute|Entity Attribut]] **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] |
| |
| | ==== International ==== |
| **International** kommen vor allem diese Entity Categories zum Einsatz: | **International** kommen vor allem diese Entity Categories zum Einsatz: |
| |
| * [[https://refeds.org/category/hide-from-discovery|Hide from Discovery (nur IdPs)]] | * [[https://refeds.org/category/hide-from-discovery|Hide from Discovery (nur IdPs)]] |
| |
| In unserer **Metadatenverwaltung** tauchen die entsprechenden Checkboxen erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt. | In der DFN-AAI **Metadatenverwaltung** tauchen die entsprechenden Checkboxen erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt. |
| * Für die Entity Category für den GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA sind die Bedingungen im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr mdui:PrivacyStatementURL auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein. | * Für die Entity Category für den GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA sind die Bedingungen im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr mdui:PrivacyStatementURL auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein. |
| * Für die Entity Category Research and Scholarship finden Sie bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5). | * Für die Entity Category Research and Scholarship finden Sie bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5). |
| </file> | </file> |
| |
| | ==== DFN-AAI ==== |
| In der **DFN-AAI** kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. virtuelle Subföderationen zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: | In der **DFN-AAI** kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. virtuelle Subföderationen zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: |
| |
| * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]] | * [[de:aai:ec_bwidm-member|http://aai.dfn.de/category/bwidm-member]] |
| * [[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]] | * [[de:aai:ec_clarin-member|http://clarin.eu/category/clarin-member]] |
| * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]] | * [[de:aai:ec_ndsidm-member|http://aai.dfn.de/category/ndsidm-member]] |
| * [[http://aai.dfn.de/category/vetmed-member|http://aai.dfn.de/category/vetmed-member]] | * [[de:aai:ec_vetmed-member|http://aai.dfn.de/category/vetmed-member]] |
| * [[http://aai.dfn.de/category/vhb-member|http://aai.dfn.de/category/vhb-member]] | * [[de:aai:ec_vhb-member|http://aai.dfn.de/category/vhb-member]] |
| * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]] | * [[de:aai:ec_rarp-member|http://aai.dfn.de/category/rarp-member]] |
| * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]] | * [[de:aai:ec_public-idp|http://aai.dfn.de/category/public-idp]] |
| |
| Implementierungswünsche für weitere Entity Categories richten Sie bitte an hotline@aai.dfn.de | Implementierungswünsche für weitere Entity Categories richten Sie bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. |
| |
| === Beispiele (Metadaten) === | === Beispiele (Metadaten) === |