Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:entity_attributes [2023/01/12 17:33] – [Beispiele (Filter)] Wolfgang Pempe
+++ de:entity_attributes [2025/08/01 09:58] (aktuell) – [Internationale Entity Categories] Doreen Liebenau
@@ Zeile 15: / Zeile 15: @@
   <EntityDescriptor entityID="https://testsp3.aai.dfn.de/shibboleth">
     <Extensions>
-      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2018-01-31T10:16:59Z">
+      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2020-01-31T10:16:59Z">
-        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/en/join/</mdrpi:RegistrationPolicy>
+        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/fileadmin/documents/mrps_dfn-aai_1.0.pdf</mdrpi:RegistrationPolicy>
-        <mdrpi:RegistrationPolicy xml:lang="de">https://www.aai.dfn.de/teilnahme/</mdrpi:RegistrationPolicy>
       </mdrpi:RegistrationInfo>
       <mdattr:EntityAttributes>
         <saml:Attribute Name="urn:oasis:names:tc:SAML:profiles:subject-id:req" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
           <saml:AttributeValue>subject-id</saml:AttributeValue>
-        </saml:Attribute>
-        <saml:Attribute Name="http://aai.dfn.de/require-loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>basic</saml:AttributeValue>
         </saml:Attribute>
       </mdattr:EntityAttributes>
@@ Zeile 34: / Zeile 30: @@
 <callout color="#ff9900" title="Sirtfi"> Dieses seltsame Wort wird "certify" ausgesprochen. Es steht für "Security Incident Response Trust Framework for Federated Identity". Dieses Entity Attribut bezeugt die Bereitschaft und Fähigkeit des IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|die REFEDS-Website]] und unsere Dokumentation zu [[:de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Sirtfi Compliance in der DFN-AAI]]. </callout>
-Das Sirtfi Entity Attribut darf nur unter den im Framework festgelegten Bedingungen geführt werden. Wir prüfen folgende formale und technische Kriterien, bevor wir die entsprechende Checkbox freigeben:
+Das Sirtfi Entity Attribut ''urn:oasis:names:tc:SAML:attribute:assurance-certification'' darf nur unter den im Framework festgelegten Bedingungen geführt werden. Wir prüfen folgende formale und technische Kriterien, bevor wir die entsprechende Checkbox freigeben:
   - In den Metadaten muss ein Security-Kontakt benannt sein. Dabei muss es sich um eine Funktionsadresse handeln, keine persönliche E-Mail-Adresse.
   - Wir setzen voraus, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen.
   - Die SSL-Konfiguration des Webservers muss aktueller Best Practice entsprechen. Dazu ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] heran.
+[[https://refeds.org/wp-content/uploads/2022/08/Sirtfi-v2.pdf|Sirtfi Version 2]] beinhaltet alle Punkte der [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|Version 1]], [[https://refeds.org/wp-content/uploads/2022/08/Coexistence-of-Sirtfi-v1-and-v2.pdf|ergänzt und präzisiert]] diese jedoch. Wenn für eine Entity (IdP/SP) Konformität zu Sirtfi 2.0 bestätigt wird, müssen daher als Werte für das entsprechende Entity Attribut sowohl ''https://refeds.org/sirtfi'' als auch ''https://refeds.org/sirtfi2'' gesetzt werden - siehe das Beispiel unten.
 Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[:de:aai:incidentresponse|Incident Response]].
@@ Zeile 51: / Zeile 49: @@
         <!-- ... -->
         <saml:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+          <saml:AttributeValue>https://refeds.org/sirtfi2</saml:AttributeValue>
           <saml:AttributeValue>https://refeds.org/sirtfi</saml:AttributeValue>
         </saml:Attribute>
@@ Zeile 58: / Zeile 57: @@
 </file>
+\\
 ====== Entity Categories ======
-Eine Entity Category ist genau genommen auch ein Entity Attribut. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
+Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen **%%http://macedir.org/entity-category%%** führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
 IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]].
+\\
 ===== Internationale Entity Categories =====
-Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.
+Die folgenden Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]].
-==== GÉANT Data Protection Code of Conduct ====
+\\
-Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend den geltenden Datenschutzrichtlinien behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]].
+==== GÉANT Data Protection Code of Conduct (CoCo v.1) ====
-Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr ''mdui:PrivacyStatementURL''  auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein.
+Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend der EU Datenschutzrichtlinie  95/46/EG von 1995 behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]]. Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert.
-IdPs, die für Code of Conduct-SPs pauschal eine feste Attributliste freigeben möchten, sollten [[:de:shibidp:config-attributes-coco|folgende Filterregel]] haben.
+IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
+==== REFEDS Data Protection Code of Conduct (CoCo v.2) ====
+Die Entity Category REFEDS Data Protection Code of Conduct (CoCco v.2) signalisiert, dass Service Provider, die dieser Entity Category angehören, die auf der DSGVO basierenden [[https://refeds.org/wp-content/uploads/2022/05/REFEDS-CoCo-Best-Practicev2.pdf|Best Practices]] befolgen, die dieses Entity Category definiert. Siehe hierzu auch unter https://refeds.org/category/code-of-conduct/v2.
+IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
+**Definition:**
+  * Selbstverpflichtungserklärung von Service Providern
+  * Ansässig in der EU oder im europäischem Wirtschaftsraum
+  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
+**Registrierungskriterien:**
+  * Für SPs gilt:
+    * Liste der angeforderten Attribute stimmt mit den Angaben in den Datenschutzinformationen überein
+    * Metadaten enthalten in englischer Sprachversion (d.h. xml:lang=„en“)
+      * <mdui:DisplayName>
+      * <mdui:Description>
+      * <mdui:PrivacyStatementURL>
+  * Für IdPs, die diese Entity Category unterstützen, gilt:
+    * Nur die angeforderten Attribute freigeben
+    * Wird für ein multi-valued Attribut ein bestimmter Wert verlangt, wird nur dieser freigegeben
+    * Information der Nutzenden über jedes Attribut in PrivacyStatementURL
+**Required Attributes:**
+  * vom SP benötigte Attribute müssen wie folgt gekennzeichnet sein:
+    * RequestedAttribute mit «isRequired="true"» oder
+    * subject-id:req (pairwise-id or subject-id)
+\\
+==== European Student Identifier ====
+Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]].
+**Definition:**
+  * Zweck: eindeutige Identifikation von Studierenden im Rahmen formaler Lern-, Lehr- und Verwaltungsprozesse innerherhalb der europäischen Hochschullandschaft
+  * zuverlässiger & datenschutzkonformen Austausch studentischer Daten zwischen Institutionen, insbesondere zur Abwicklung von Mobilitätsprogrammen wie Erasmus+
+**Registrierungskriterien (betreffen SPs):**
+  * Ansässig in der EU oder im europäischem Wirtschaftsraum
+  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
+  * In Frage kommen
+    * Studierendenmobilitätsdienste, z. B. das Programm Erasmus+.
+    * SPs zur Übermittlung von Studierendendaten zwischen Bildungseinrichtungen
+    * Hochschulübergreifende Allianzen und Lernmanagementsysteme
+**Required Attribute:**
+  * schacPersonalUniqueCode
+\\
 ==== Research and Scholarship ====
-Die Entity Category Research and Scholarship können Service Provider setzen, deren Dienst die Zusammenarbeit oder das Management in den Bereichen Forschung und Bildung unterstützt. Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
+Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
-Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert.
+**Definition der Entity Category Research and Scholarship:**
+  * SPs, die zumindest teilweise zur Unterstützung der Interaktion, Zusammenarbeit oder Verwaltung von Forschung und Wissenschaft betrieben werden, z.B.
+    * Wikis, Blogs, Projekt- und Fördermittelmanagement-Tools
+    * NICHT: Lizenz-Management
+  * IdPs können die Unterstützung von SPs in dieser Entity Category angeben
+    * [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]]
+**Registrierungskriterien (gelten für SPs):**
+  * unterstützt SAML V2.0 HTTP-POST binding
+  * Föderations-Metadaten werden mind. täglich aktualisiert
+  * Metadaten enthalten: <mdui:DisplayName>, <mdui:InformationURL>, <contactPerson contactType=“technical“>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**R&S-Attribut-Bundle:**
+  * Benutzerkennung
+    * eduPersonPrincipalName (wenn nicht neu zugewiesen)
+    * Oder: eduPersonPrincipalName + eduPersonTargetedID (oder persistenName ID)
+  * Name der Person, E-Mail-Adresse
+    * displayName oder/und givenName + sn
+    * mail
+  * optional Zugehörigkeit
+    * eduPersonScopedAffiliation
+Zusätzliche Attribut-Anforderungen können ausgehandelt werden
+Für IdPs, die diese Entity Category unterstützen gilt:
+  * Freigabe des Attribut-Bundles für eine signifikante Teilmenge der User
+  * Freigabe erfolgt Automatisch oder vorbehaltlich der User-Zustimmung
+  * Bereitstellung eines persistenten, nicht neu zugewiesenen, nicht zielgerichteten User-Identitfiers ist gegeben
+\\
+==== Anonymous Access ====
+  * Siehe unter https://refeds.org/category/anonymous
+  * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].
+**Definition:**
+  * Fokus: Erhalt personenbezogener Daten ist unerwünscht
+  * Nicht: Bereitstellung von Autorisierungsinformationen
+  * IdPs können Unterstützung der Entity Category anzeigen
+**Registrierungskriterien (betreffen SPs):**
+  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL> und <contactPerson>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**Required Attributes:**
+  * Organization: schacHomeOrganization
+  * Affiliation: eduPersonScopedAffiliation
+==== Pseudonymous Access ====
+  * Siehe unter https://refeds.org/category/pseudonymous
+  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
+**Definition:**
+  * Fokus: Personalisierung auf der Grundlage eines pseudonymen User-Identifiers
+  * Nicht: Bereitstellung von Autorisierungsinformationen
+  * IdPs können Unterstützung der Entity Category anzeigen
+**Registrierungskriterien (betreffen SPs):**
+  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle)
+  * Selbstverpflichtung zur Datenminimierung
+  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet
+  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**Attribut-Bundle:**
+  * Organization: schacHomeOrganization
+  * pseudonymous pairwise user identifier: pairwise-id
+  * Affiliation: eduPersonScopedAffiliation
+  * Assurance: eduPersonAssurance
+==== Personalized Access ====
+  * Siehe unter https://refeds.org/category/personalized
+  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
+**Definition:**
+  * SPs, die nachweislich einige wenige personenbezogenen Daten der Nutzenden benötigen
+  * Nicht: Bereitstellung von Autorisierungsinformationen
+  * IdPs können Unterstützung der Entity Category anzeigen
+**Registrierungskriterien (betreffen SPs):**
+  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle)
+  * Selbstverpflichtung zur Datenminimierung
+  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet
+  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**Attribute-Bundle:**
+  * Organization: schacHomeOrganization
+  * user identifier: subject-id
+  * person name: displayName , givenName, sn
+  * email address: mail
+  * affiliation: eduPersonScopedAffiliation
+  * Assurance: eduPersonAssurance
+\\
 ==== Hide from Discovery ====
 Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]].
+SPs akzeptieren weiterhin Assertions von diesem IdP.
+Mögliche Situationen:
+  * Verbesserung der Benutzerfreundlichkeit bei ähnlichen Anzeigenamen von Test/Dev & Prod. IdP
+  * IdPs mit Zugangsbeschränkung auf bestimmte Netzbereiche
+  * Technische Herausforderungen über einen längeren Zeitraum, z.B. Migration
+\\
 ==== Beispiele ====
@@ Zeile 100: / Zeile 254: @@
       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>
+          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
           <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>
           <saml:AttributeValue>http://clarin.eu/category/clarin-member</saml:AttributeValue>
@@ Zeile 111: / Zeile 265: @@
 Hier sehen Sie den Metadatenauszug eines Identity Providers, der Attributfreigaben für Code of Conduct-getreue SPs konfiguriert hat.
-<file xml dfn-aai-metadata.xml>
+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://idp.hs-bremen.de/idp/shibboleth">
     <Extensions>
@@ Zeile 120: / Zeile 274: @@
       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category-support" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>
+          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
         </saml:Attribute>
       </mdattr:EntityAttributes>
@@ Zeile 136: / Zeile 290: @@
   * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins
 Folgende Kategorien werden derzeit vergeben:
-  * [[http://aai.dfn.de/category/aai-plus|http://aai.dfn.de/category/aai-plus]]
   * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]
   * [[http://aai.dfn.de/category/campus-lsa-member|http://aai.dfn.de/category/campus-lsa-member]]
@@ Zeile 147: / Zeile 300: @@
   * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]
   * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]]
+  * [[http://aai.dfn.de/category/psy-infra|http://aai.dfn.de/category/psy-infra]]
   * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]
   * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]
@@ Zeile 176: / Zeile 330: @@
 Hier sehen Sie den Metadatenauszug eines IdP, der am bwIdM-Verbund teilnimmt:
-<file xml dfn-aai-metadata.xml>
+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://mylogin.uni-freiburg.de/shibboleth">
     <Extensions>
@@ Zeile 216: / Zeile 370: @@
 <file xml shibboleth2.xml>
 <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/metadata/dfn-aai-metadata.xml"
+     uri="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml"
-     backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">
+     backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="Include" matcher="EntityAttributes">
@@ Zeile 224: / Zeile 378: @@
             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
         </saml:Attribute>
-   </MetadataFilter>
-   <MetadataFilter type="EntityRole">
-      <RetainedRole>md:IDPSSODescriptor</RetainedRole>
    </MetadataFilter>
 </MetadataProvider>
@@ Zeile 283: / Zeile 434: @@
 (siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos)
 <file xml attribute-filter.xml>
-<AttributeFilterPolicy id="metavideoportal_member">
+<AttributeFilterPolicy id="metavideoportal-member">
-   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
+<PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
      attributeName="http://macedir.org/entity-category"
      attributeValue="http://aai.dfn.de/category/metavideoportal-member" />
-   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
+<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
-   <AttributeRule attributeID="samlSubjectID" permitAny="true"/>
+<AttributeRule attributeID="samlSubjectID" permitAny="true"/>
-   <AttributeRule attributeID="displayName" permitAny="true"/>
+<AttributeRule attributeID="displayName" permitAny="true"/>
-   <AttributeRule attributeID="givenName" permitAny="true"/>
+<AttributeRule attributeID="givenName" permitAny="true"/>
-   <AttributeRule attributeID="sn" permitAny="true"/>
+<AttributeRule attributeID="sn" permitAny="true"/>
-   <AttributeRule attributeID="mail" permitAny="true"/>
+<AttributeRule attributeID="mail" permitAny="true"/>
+<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/>
+<!-- Optional, if available, for resource authorization -->
+<AttributeRule attributeID="dfnEduPersonFinalDegree" permitAny="true"/>
 </AttributeFilterPolicy>
 </file>
@@ Zeile 332: / Zeile 486: @@
   * **IdP - Attributfreigabe**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199502013/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]]
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199502037/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]
   * **IdP - Relying Party Konfiguration**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/RelyingPartyConfiguration#RelyingPartyConfiguration-Overrides|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508044/RelyingPartyConfiguration|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]
   * **IdP - internes Tagging mit Entity Attributen**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributesFilter|Metadata - EntityAttributesFilter]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199507147/EntityAttributesFilter|Metadata - EntityAttributesFilter]]
   * **SP - Metadata Filter (matcher="EntityAttributes")**
       * [[https://wiki.shibboleth.net/confluence/display/SP3/IncludeMetadataFilter|Include MetadataFilter]]

entity-category entity-attribute subjectidentifierattributes