Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:entity_attributes [2023/06/06 13:57] – [Sirtfi] Wolfgang Pempe
+++ de:entity_attributes [2025/02/26 10:51] (aktuell) – [Entity Categories] Andreas Borm
@@ Zeile 15: / Zeile 15: @@
   <EntityDescriptor entityID="https://testsp3.aai.dfn.de/shibboleth">
     <Extensions>
-      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2018-01-31T10:16:59Z">
+      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2020-01-31T10:16:59Z">
-        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/en/join/</mdrpi:RegistrationPolicy>
+        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/fileadmin/documents/mrps_dfn-aai_1.0.pdf</mdrpi:RegistrationPolicy>
-        <mdrpi:RegistrationPolicy xml:lang="de">https://www.aai.dfn.de/teilnahme/</mdrpi:RegistrationPolicy>
       </mdrpi:RegistrationInfo>
       <mdattr:EntityAttributes>
         <saml:Attribute Name="urn:oasis:names:tc:SAML:profiles:subject-id:req" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
           <saml:AttributeValue>subject-id</saml:AttributeValue>
-        </saml:Attribute>
-        <saml:Attribute Name="http://aai.dfn.de/require-loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>basic</saml:AttributeValue>
         </saml:Attribute>
       </mdattr:EntityAttributes>
@@ Zeile 61: / Zeile 57: @@
 </file>
+\\
 ====== Entity Categories ======
-Eine Entity Category ist genau genommen auch ein Entity Attribut. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
+Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen **%%http://macedir.org/entity-category%%** führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
 IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]].
+\\
 ===== Internationale Entity Categories =====
@@ Zeile 72: / Zeile 72: @@
 Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.
-==== GÉANT Data Protection Code of Conduct ====
+\\
-Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend den geltenden Datenschutzrichtlinien behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]].
+==== GÉANT Data Protection Code of Conduct (CoCo v.1) ====
-Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr ''mdui:PrivacyStatementURL''  auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein.
+Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend der EU Datenschutzrichtlinie  95/46/EG von 1995 behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]]. Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert.
-IdPs, die für Code of Conduct-SPs pauschal eine feste Attributliste freigeben möchten, sollten [[:de:shibidp:config-attributes-coco|folgende Filterregel]] haben.
+IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
+==== REFEDS Data Protection Code of Conduct (CoCo v.2) ====
+Die Entity Category REFEDS Data Protection Code of Conduct (CoCco v.2) signalisiert, dass Service Provider, die dieser Entity Category angehören, die auf der DSGVO basierenden [[https://refeds.org/wp-content/uploads/2022/05/REFEDS-CoCo-Best-Practicev2.pdf|Best Practices]] befolgen, die dieses Entity Category definiert. Siehe hierzu auch unter https://refeds.org/category/code-of-conduct/v2.
+IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
+\\
+==== European Student Identifier ====
+Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]].
+\\
 ==== Research and Scholarship ====
@@ Zeile 85: / Zeile 98: @@
 Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert.
+\\
+==== Anonymous Access ====
+  * Siehe unter https://refeds.org/category/anonymous
+  * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].
+==== Pseudonymous Access ====
+  * Siehe unter https://refeds.org/category/pseudonymous
+  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
+==== Personalized Access ====
+  * Siehe unter https://refeds.org/category/personalized
+  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
+\\
 ==== Hide from Discovery ====
 Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]].
+\\
 ==== Beispiele ====
@@ Zeile 103: / Zeile 134: @@
       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>
+          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
           <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>
           <saml:AttributeValue>http://clarin.eu/category/clarin-member</saml:AttributeValue>
@@ Zeile 114: / Zeile 145: @@
 Hier sehen Sie den Metadatenauszug eines Identity Providers, der Attributfreigaben für Code of Conduct-getreue SPs konfiguriert hat.
-<file xml dfn-aai-metadata.xml>
+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://idp.hs-bremen.de/idp/shibboleth">
     <Extensions>
@@ Zeile 123: / Zeile 154: @@
       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category-support" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>
+          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
         </saml:Attribute>
       </mdattr:EntityAttributes>
@@ Zeile 139: / Zeile 170: @@
   * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins
 Folgende Kategorien werden derzeit vergeben:
-  * [[http://aai.dfn.de/category/aai-plus|http://aai.dfn.de/category/aai-plus]]
   * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]
   * [[http://aai.dfn.de/category/campus-lsa-member|http://aai.dfn.de/category/campus-lsa-member]]
@@ Zeile 150: / Zeile 180: @@
   * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]
   * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]]
+  * [[http://aai.dfn.de/category/psy-infra|http://aai.dfn.de/category/psy-infra]]
   * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]
   * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]
@@ Zeile 179: / Zeile 210: @@
 Hier sehen Sie den Metadatenauszug eines IdP, der am bwIdM-Verbund teilnimmt:
-<file xml dfn-aai-metadata.xml>
+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://mylogin.uni-freiburg.de/shibboleth">
     <Extensions>
@@ Zeile 219: / Zeile 250: @@
 <file xml shibboleth2.xml>
 <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/metadata/dfn-aai-metadata.xml"
+     uri="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml"
-     backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">
+     backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="Include" matcher="EntityAttributes">
@@ Zeile 227: / Zeile 258: @@
             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
         </saml:Attribute>
-   </MetadataFilter>
-   <MetadataFilter type="EntityRole">
-      <RetainedRole>md:IDPSSODescriptor</RetainedRole>
    </MetadataFilter>
 </MetadataProvider>
@@ Zeile 286: / Zeile 314: @@
 (siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos)
 <file xml attribute-filter.xml>
-<AttributeFilterPolicy id="metavideoportal_member">
+<AttributeFilterPolicy id="metavideoportal-member">
-   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
+<PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
      attributeName="http://macedir.org/entity-category"
      attributeValue="http://aai.dfn.de/category/metavideoportal-member" />
-   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
+<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
-   <AttributeRule attributeID="samlSubjectID" permitAny="true"/>
+<AttributeRule attributeID="samlSubjectID" permitAny="true"/>
-   <AttributeRule attributeID="displayName" permitAny="true"/>
+<AttributeRule attributeID="displayName" permitAny="true"/>
-   <AttributeRule attributeID="givenName" permitAny="true"/>
+<AttributeRule attributeID="givenName" permitAny="true"/>
-   <AttributeRule attributeID="sn" permitAny="true"/>
+<AttributeRule attributeID="sn" permitAny="true"/>
-   <AttributeRule attributeID="mail" permitAny="true"/>
+<AttributeRule attributeID="mail" permitAny="true"/>
+<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/>
+<!-- Optional, if available, for resource authorization -->
+<AttributeRule attributeID="dfnEduPersonFinalDegree" permitAny="true"/>
 </AttributeFilterPolicy>
 </file>

entity-category entity-attribute subjectidentifierattributes