Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:entity_attributes [2023/11/01 16:12] Wolfgang Pempede:entity_attributes [2025/02/26 10:51] (aktuell) – [Entity Categories] Andreas Borm
Zeile 15: Zeile 15:
   <EntityDescriptor entityID="https://testsp3.aai.dfn.de/shibboleth">   <EntityDescriptor entityID="https://testsp3.aai.dfn.de/shibboleth">
     <Extensions>     <Extensions>
-      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2018-01-31T10:16:59Z"> +      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2020-01-31T10:16:59Z"> 
-        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/en/join/</mdrpi:RegistrationPolicy> +        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/fileadmin/documents/mrps_dfn-aai_1.0.pdf</mdrpi:RegistrationPolicy>
-        <mdrpi:RegistrationPolicy xml:lang="de">https://www.aai.dfn.de/teilnahme/</mdrpi:RegistrationPolicy>+
       </mdrpi:RegistrationInfo>       </mdrpi:RegistrationInfo>
       <mdattr:EntityAttributes>       <mdattr:EntityAttributes>
Zeile 58: Zeile 57:
  
 </file> </file>
 +
 +\\
  
 ====== Entity Categories ====== ====== Entity Categories ======
  
-Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen ''http://macedir.org/entity-category'' führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.+Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen **%%http://macedir.org/entity-category%%** führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
  
 IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]]. IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]].
 +
 +\\
  
 ===== Internationale Entity Categories ===== ===== Internationale Entity Categories =====
Zeile 69: Zeile 72:
 Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt. Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.
  
-==== GÉANT Data Protection Code of Conduct ====+\\ 
 + 
 +==== GÉANT Data Protection Code of Conduct (CoCo v.1) ====
  
 Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend der EU Datenschutzrichtlinie  95/46/EG von 1995 behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]]. Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert.  Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend der EU Datenschutzrichtlinie  95/46/EG von 1995 behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]]. Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. 
Zeile 75: Zeile 80:
 IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren. IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
  
-==== REFEDS Data Protection Code of Conduct ====+==== REFEDS Data Protection Code of Conduct (CoCo v.2) ====
  
 Die Entity Category REFEDS Data Protection Code of Conduct (CoCco v.2) signalisiert, dass Service Provider, die dieser Entity Category angehören, die auf der DSGVO basierenden [[https://refeds.org/wp-content/uploads/2022/05/REFEDS-CoCo-Best-Practicev2.pdf|Best Practices]] befolgen, die dieses Entity Category definiert. Siehe hierzu auch unter https://refeds.org/category/code-of-conduct/v2.  Die Entity Category REFEDS Data Protection Code of Conduct (CoCco v.2) signalisiert, dass Service Provider, die dieser Entity Category angehören, die auf der DSGVO basierenden [[https://refeds.org/wp-content/uploads/2022/05/REFEDS-CoCo-Best-Practicev2.pdf|Best Practices]] befolgen, die dieses Entity Category definiert. Siehe hierzu auch unter https://refeds.org/category/code-of-conduct/v2. 
  
 IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren. IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
 +
 +\\
 +
 +==== European Student Identifier ====
 +Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]].
 +
 +\\
  
 ==== Research and Scholarship ==== ==== Research and Scholarship ====
Zeile 86: Zeile 98:
  
 Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert. Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert.
 +
 +\\
 +
 +==== Anonymous Access ====
 +  * Siehe unter https://refeds.org/category/anonymous
 +  * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].
 +
 +==== Pseudonymous Access ====
 +  * Siehe unter https://refeds.org/category/pseudonymous
 +  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
 +
 +==== Personalized Access ====
 +  * Siehe unter https://refeds.org/category/personalized
 +  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
 +
 +\\
  
 ==== Hide from Discovery ==== ==== Hide from Discovery ====
  
 Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]]. Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]].
 +
 +\\
  
 ==== Beispiele ==== ==== Beispiele ====
Zeile 104: Zeile 134:
       <mdattr:EntityAttributes>       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>+          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
           <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>           <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>
           <saml:AttributeValue>http://clarin.eu/category/clarin-member</saml:AttributeValue>           <saml:AttributeValue>http://clarin.eu/category/clarin-member</saml:AttributeValue>
Zeile 115: Zeile 145:
 Hier sehen Sie den Metadatenauszug eines Identity Providers, der Attributfreigaben für Code of Conduct-getreue SPs konfiguriert hat. Hier sehen Sie den Metadatenauszug eines Identity Providers, der Attributfreigaben für Code of Conduct-getreue SPs konfiguriert hat.
  
-<file xml dfn-aai-metadata.xml>+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://idp.hs-bremen.de/idp/shibboleth">   <EntityDescriptor entityID="https://idp.hs-bremen.de/idp/shibboleth">
     <Extensions>     <Extensions>
Zeile 124: Zeile 154:
       <mdattr:EntityAttributes>       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category-support" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">         <saml:Attribute Name="http://macedir.org/entity-category-support" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>+          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
         </saml:Attribute>         </saml:Attribute>
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
Zeile 140: Zeile 170:
   * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins   * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins
 Folgende Kategorien werden derzeit vergeben: Folgende Kategorien werden derzeit vergeben:
-  * [[http://aai.dfn.de/category/aai-plus|http://aai.dfn.de/category/aai-plus]] 
   * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]   * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]
   * [[http://aai.dfn.de/category/campus-lsa-member|http://aai.dfn.de/category/campus-lsa-member]]   * [[http://aai.dfn.de/category/campus-lsa-member|http://aai.dfn.de/category/campus-lsa-member]]
Zeile 151: Zeile 180:
   * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]   * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]
   * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]]   * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]]
 +  * [[http://aai.dfn.de/category/psy-infra|http://aai.dfn.de/category/psy-infra]]
   * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]   * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]
   * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]   * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]
Zeile 180: Zeile 210:
 Hier sehen Sie den Metadatenauszug eines IdP, der am bwIdM-Verbund teilnimmt: Hier sehen Sie den Metadatenauszug eines IdP, der am bwIdM-Verbund teilnimmt:
  
-<file xml dfn-aai-metadata.xml>+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://mylogin.uni-freiburg.de/shibboleth">   <EntityDescriptor entityID="https://mylogin.uni-freiburg.de/shibboleth">
     <Extensions>     <Extensions>
Zeile 220: Zeile 250:
 <file xml shibboleth2.xml> <file xml shibboleth2.xml>
 <MetadataProvider type="XML" <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/metadata/dfn-aai-metadata.xml" +     uri="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" 
-     backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">+     backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="Include" matcher="EntityAttributes">    <MetadataFilter type="Include" matcher="EntityAttributes">
Zeile 228: Zeile 258:
             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
         </saml:Attribute>         </saml:Attribute>
-   </MetadataFilter> 
-   <MetadataFilter type="EntityRole"> 
-      <RetainedRole>md:IDPSSODescriptor</RetainedRole> 
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
Zeile 287: Zeile 314:
 (siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos) (siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos)
 <file xml attribute-filter.xml> <file xml attribute-filter.xml>
-<AttributeFilterPolicy id="metavideoportal_member"> +<AttributeFilterPolicy id="metavideoportal-member"> 
-   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"+<PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
      attributeName="http://macedir.org/entity-category"      attributeName="http://macedir.org/entity-category"
      attributeValue="http://aai.dfn.de/category/metavideoportal-member" />      attributeValue="http://aai.dfn.de/category/metavideoportal-member" />
-   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/> +<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/> 
-   <AttributeRule attributeID="samlSubjectID" permitAny="true"/> +<AttributeRule attributeID="samlSubjectID" permitAny="true"/> 
-   <AttributeRule attributeID="displayName" permitAny="true"/> +<AttributeRule attributeID="displayName" permitAny="true"/> 
-   <AttributeRule attributeID="givenName" permitAny="true"/> +<AttributeRule attributeID="givenName" permitAny="true"/> 
-   <AttributeRule attributeID="sn" permitAny="true"/> +<AttributeRule attributeID="sn" permitAny="true"/> 
-   <AttributeRule attributeID="mail" permitAny="true"/>+<AttributeRule attributeID="mail" permitAny="true"/> 
 +<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/> 
 +<!-- Optional, if available, for resource authorization --> 
 +<AttributeRule attributeID="dfnEduPersonFinalDegree" permitAny="true"/>
 </AttributeFilterPolicy> </AttributeFilterPolicy>
 </file> </file>
  • Zuletzt geändert: vor 17 Monaten