| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:entity_attributes [2019/07/18 11:21] – [Entity Categories] Wolfgang Pempe | de:entity_attributes [2019/08/06 16:18] – [DFN-AAI] Wolfgang Pempe |
|---|
| ===== Beispiele ===== | ===== Beispiele ===== |
| |
| ==== eduGAIN Registration Authority ==== | ==== Verlässlichkeitsklasse des IdP ==== |
| | Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt. |
| Hier werden in den eduGAIN-Metadaten die //Registration Authorities// (=Föderationen) angegeben, über die die jeweilige Entity in eduGAIN registriert wurde (für Attributfreigabe ab IdP 3.x obsolet, siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/RegistrationAuthorityConfiguration|Doku im Shibboleth Wiki]]): | <file xml dfn-aai-idp-metadata.xml> |
| | <md:EntityDescriptor entityID="https://idp.scc.kit.edu/idp/shibboleth"> |
| <file xml dfn-aai-edugain+sp-metadata.xml> | |
| <md:EntityDescriptor entityID="https://foodl.org/simplesaml/module.php/saml/sp/metadata.php/saml"> | |
| <md:Extensions> | <md:Extensions> |
| <mdrpi:RegistrationInfo registrationAuthority="http://feide.no/" registrationInstant="2011-05-05T06:16:34Z"> | <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2010-03-15T10:30:11Z"> |
| <mdrpi:RegistrationPolicy xml:lang="en">http://www.feide.no/files/feide/metadata-registration-practice-statement.pdf</mdrpi:RegistrationPolicy> | <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/en/join/</mdrpi:RegistrationPolicy> |
| | <mdrpi:RegistrationPolicy xml:lang="de">https://www.aai.dfn.de/teilnahme/</mdrpi:RegistrationPolicy> |
| </mdrpi:RegistrationInfo> | </mdrpi:RegistrationInfo> |
| <mdattr:EntityAttributes> | <mdattr:EntityAttributes> |
| <saml:Attribute Name="http://aai.dfn.de/edugain/registrationAuthority" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> | <!-- ... --> |
| <saml:AttributeValue>http://feide.no/</saml:AttributeValue> | <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| | <saml:AttributeValue>advanced</saml:AttributeValue> |
| </saml:Attribute> | </saml:Attribute> |
| </mdattr:EntityAttributes> | </mdattr:EntityAttributes> |
| | </md:Extensions> |
| </file> | </file> |
| |
| ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== | ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== |
| |
| Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: | Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen, dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: |
| - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen | - Es wird vorausgesetzt, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen |
| </mdattr:EntityAttributes> | </mdattr:EntityAttributes> |
| </md:Extensions> | </md:Extensions> |
| | </file> |
| | |
| | ==== eduGAIN Registration Authority ==== |
| | |
| | Hier werden in den eduGAIN-Metadaten die //Registration Authorities// (=Föderationen) angegeben, über die die jeweilige Entity in eduGAIN registriert wurde (für Attributfreigabe ab IdP 3.x obsolet, siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/RegistrationAuthorityConfiguration|Doku im Shibboleth Wiki]]): |
| | |
| | <file xml dfn-aai-edugain+sp-metadata.xml> |
| | <md:EntityDescriptor entityID="https://foodl.org/simplesaml/module.php/saml/sp/metadata.php/saml"> |
| | <md:Extensions> |
| | <mdrpi:RegistrationInfo registrationAuthority="http://feide.no/" registrationInstant="2011-05-05T06:16:34Z"> |
| | <mdrpi:RegistrationPolicy xml:lang="en">http://www.feide.no/files/feide/metadata-registration-practice-statement.pdf</mdrpi:RegistrationPolicy> |
| | </mdrpi:RegistrationInfo> |
| | <mdattr:EntityAttributes> |
| | <saml:Attribute Name="http://aai.dfn.de/edugain/registrationAuthority" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| | <saml:AttributeValue>http://feide.no/</saml:AttributeValue> |
| | </saml:Attribute> |
| | </mdattr:EntityAttributes> |
| </file> | </file> |
| |
| ===== Entity Categories ===== | ===== Entity Categories ===== |
| Das Entity Attribut **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] | Das [[#entity_attribute|Entity Attribut]] **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]] |
| |
| ==== International ==== | ==== International ==== |
| |
| ==== DFN-AAI ==== | ==== DFN-AAI ==== |
| In der **DFN-AAI** kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. virtuelle Subföderationen zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: | In der **DFN-AAI** kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben: |
| |
| * [[de:aai:ec_bwidm-member|http://aai.dfn.de/category/bwidm-member]] | * [[de:aai:ec_bwidm-member|http://aai.dfn.de/category/bwidm-member]] |