Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:entity_attributes [2023/11/01 18:39] – [Anonymous Access] Wolfgang Pempede:entity_attributes [2025/08/01 09:58] (aktuell) – [Internationale Entity Categories] Doreen Liebenau
Zeile 62: Zeile 62:
 ====== Entity Categories ====== ====== Entity Categories ======
  
-Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen ''http://macedir.org/entity-category'' führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.+Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen **%%http://macedir.org/entity-category%%** führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
  
 IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]]. IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]].
Zeile 70: Zeile 70:
 ===== Internationale Entity Categories ===== ===== Internationale Entity Categories =====
  
-Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.+Die folgenden Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. 
  
 \\ \\
Zeile 85: Zeile 85:
  
 IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren. IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
 +
 +**Definition:** 
 +  * Selbstverpflichtungserklärung von Service Providern
 +  * Ansässig in der EU oder im europäischem Wirtschaftsraum
 +  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
 +
 +**Registrierungskriterien:**
 +  * Für SPs gilt:
 +    * Liste der angeforderten Attribute stimmt mit den Angaben in den Datenschutzinformationen überein
 +    * Metadaten enthalten in englischer Sprachversion (d.h. xml:lang=„en“) 
 +      * <mdui:DisplayName>
 +      * <mdui:Description>
 +      * <mdui:PrivacyStatementURL> 
 +  * Für IdPs, die diese Entity Category unterstützen, gilt: 
 +    * Nur die angeforderten Attribute freigeben 
 +    * Wird für ein multi-valued Attribut ein bestimmter Wert verlangt, wird nur dieser freigegeben
 +    * Information der Nutzenden über jedes Attribut in PrivacyStatementURL
 +
 +**Required Attributes:** 
 +  * vom SP benötigte Attribute müssen wie folgt gekennzeichnet sein:
 +    * RequestedAttribute mit «isRequired="true"» oder
 +    * subject-id:req (pairwise-id or subject-id)
  
 \\ \\
Zeile 90: Zeile 112:
 ==== European Student Identifier ==== ==== European Student Identifier ====
 Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]]. Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]].
 +
 +**Definition:**
 +  * Zweck: eindeutige Identifikation von Studierenden im Rahmen formaler Lern-, Lehr- und Verwaltungsprozesse innerherhalb der europäischen Hochschullandschaft
 +  * zuverlässiger & datenschutzkonformen Austausch studentischer Daten zwischen Institutionen, insbesondere zur Abwicklung von Mobilitätsprogrammen wie Erasmus+
 +
 +**Registrierungskriterien (betreffen SPs):**
 +  * Ansässig in der EU oder im europäischem Wirtschaftsraum
 +  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
 +  * In Frage kommen 
 +    * Studierendenmobilitätsdienste, z. B. das Programm Erasmus+.
 +    * SPs zur Übermittlung von Studierendendaten zwischen Bildungseinrichtungen 
 +    * Hochschulübergreifende Allianzen und Lernmanagementsysteme
 +
 +**Required Attribute:**
 +  * schacPersonalUniqueCode
  
 \\ \\
Zeile 95: Zeile 132:
 ==== Research and Scholarship ==== ==== Research and Scholarship ====
  
-Die Entity Category Research and Scholarship können Service Provider setzen, deren Dienst die Zusammenarbeit oder das Management in den Bereichen Forschung und Bildung unterstützt. Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).+Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
  
-Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert.+**Definition der Entity Category Research and Scholarship:** 
 +  * SPs, die zumindest teilweise zur Unterstützung der Interaktion, Zusammenarbeit oder Verwaltung von Forschung und Wissenschaft betrieben werden, z.B. 
 +    * Wikis, Blogs, Projektund Fördermittelmanagement-Tools 
 +    * NICHT: Lizenz-Management 
 +  * IdPs können die Unterstützung von SPs in dieser Entity Category angeben 
 +    * [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] 
 + 
 +**Registrierungskriterien (gelten für SPs):** 
 +  * unterstützt SAML V2.0 HTTP-POST binding 
 +  * Föderations-Metadaten werden mind. täglich aktualisiert 
 +  * Metadaten enthalten: <mdui:DisplayName>, <mdui:InformationURL>, <contactPerson contactType=“technical“> 
 +  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“) 
 + 
 +**R&S-Attribut-Bundle:** 
 +  * Benutzerkennung 
 +    * eduPersonPrincipalName (wenn nicht neu zugewiesen) 
 +    * Oder: eduPersonPrincipalName + eduPersonTargetedID (oder persistenName ID) 
 +  * Name der Person, E-Mail-Adresse  
 +    * displayName oder/und givenName + sn 
 +    * mail 
 +  * optional Zugehörigkeit 
 +    * eduPersonScopedAffiliation 
 + 
 +Zusätzliche Attribut-Anforderungen können ausgehandelt werden 
 +Für IdPs, die diese Entity Category unterstützen gilt: 
 +  * Freigabe des Attribut-Bundles für eine signifikante Teilmenge der User 
 +  * Freigabe erfolgt Automatisch oder vorbehaltlich der User-Zustimmung 
 +  * Bereitstellung eines persistenten, nicht neu zugewiesenen, nicht zielgerichteten User-Identitfiers ist gegeben
  
 \\ \\
Zeile 105: Zeile 169:
   * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].   * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].
  
 +**Definition:** 
 +  * Fokus: Erhalt personenbezogener Daten ist unerwünscht
 +  * Nicht: Bereitstellung von Autorisierungsinformationen 
 +  * IdPs können Unterstützung der Entity Category anzeigen
 +
 +**Registrierungskriterien (betreffen SPs):**
 +  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL> und <contactPerson>
 +  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
 +
 +**Required Attributes:**
 +  * Organization: schacHomeOrganization
 +  * Affiliation: eduPersonScopedAffiliation
 ==== Pseudonymous Access ==== ==== Pseudonymous Access ====
-Siehe unter https://refeds.org/category/pseudonymous+  * Siehe unter https://refeds.org/category/pseudonymous 
 +  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]] 
 + 
 +**Definition:**  
 +  * Fokus: Personalisierung auf der Grundlage eines pseudonymen User-Identifiers 
 +  * Nicht: Bereitstellung von Autorisierungsinformationen  
 +  * IdPs können Unterstützung der Entity Category anzeigen 
 + 
 +**Registrierungskriterien (betreffen SPs):** 
 +  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle) 
 +  * Selbstverpflichtung zur Datenminimierung  
 +  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet 
 +  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson> 
 +  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
  
 +**Attribut-Bundle:**
 +  * Organization: schacHomeOrganization
 +  * pseudonymous pairwise user identifier: pairwise-id
 +  * Affiliation: eduPersonScopedAffiliation
 +  * Assurance: eduPersonAssurance 
 ==== Personalized Access ==== ==== Personalized Access ====
-Siehe unter https://refeds.org/category/personalized+  * Siehe unter https://refeds.org/category/personalized 
 +  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]] 
 + 
 +**Definition:**  
 +  * SPs, die nachweislich einige wenige personenbezogenen Daten der Nutzenden benötigen 
 +  * Nicht: Bereitstellung von Autorisierungsinformationen  
 +  * IdPs können Unterstützung der Entity Category anzeigen 
 + 
 +**Registrierungskriterien (betreffen SPs):** 
 +  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle) 
 +  * Selbstverpflichtung zur Datenminimierung  
 +  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet 
 +  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson> 
 +  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“) 
 + 
 +**Attribute-Bundle:** 
 +  * Organization: schacHomeOrganization 
 +  * user identifier: subject-id  
 +  * person name: displayName , givenName, sn  
 +  * email address: mail  
 +  * affiliation: eduPersonScopedAffiliation 
 +  * Assurance: eduPersonAssurance  
  
 \\ \\
Zeile 116: Zeile 232:
  
 Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]]. Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]].
 +SPs akzeptieren weiterhin Assertions von diesem IdP. 
 +
 +Mögliche Situationen: 
 +  * Verbesserung der Benutzerfreundlichkeit bei ähnlichen Anzeigenamen von Test/Dev & Prod. IdP
 +  * IdPs mit Zugangsbeschränkung auf bestimmte Netzbereiche
 +  * Technische Herausforderungen über einen längeren Zeitraum, z.B. Migration
  
 \\ \\
Zeile 168: Zeile 290:
   * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins   * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins
 Folgende Kategorien werden derzeit vergeben: Folgende Kategorien werden derzeit vergeben:
-  * [[http://aai.dfn.de/category/aai-plus|http://aai.dfn.de/category/aai-plus]] 
   * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]   * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]]
   * [[http://aai.dfn.de/category/campus-lsa-member|http://aai.dfn.de/category/campus-lsa-member]]   * [[http://aai.dfn.de/category/campus-lsa-member|http://aai.dfn.de/category/campus-lsa-member]]
Zeile 179: Zeile 300:
   * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]   * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]]
   * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]]   * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]]
 +  * [[http://aai.dfn.de/category/psy-infra|http://aai.dfn.de/category/psy-infra]]
   * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]   * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]]
   * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]   * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]]
Zeile 248: Zeile 370:
 <file xml shibboleth2.xml> <file xml shibboleth2.xml>
 <MetadataProvider type="XML" <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/metadata/dfn-aai-metadata.xml" +     uri="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" 
-     backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">+     backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="Include" matcher="EntityAttributes">    <MetadataFilter type="Include" matcher="EntityAttributes">
Zeile 256: Zeile 378:
             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
         </saml:Attribute>         </saml:Attribute>
-   </MetadataFilter> 
-   <MetadataFilter type="EntityRole"> 
-      <RetainedRole>md:IDPSSODescriptor</RetainedRole> 
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
Zeile 315: Zeile 434:
 (siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos) (siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos)
 <file xml attribute-filter.xml> <file xml attribute-filter.xml>
-<AttributeFilterPolicy id="metavideoportal_member"> +<AttributeFilterPolicy id="metavideoportal-member"> 
-   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"+<PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
      attributeName="http://macedir.org/entity-category"      attributeName="http://macedir.org/entity-category"
      attributeValue="http://aai.dfn.de/category/metavideoportal-member" />      attributeValue="http://aai.dfn.de/category/metavideoportal-member" />
-   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/> +<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/> 
-   <AttributeRule attributeID="samlSubjectID" permitAny="true"/> +<AttributeRule attributeID="samlSubjectID" permitAny="true"/> 
-   <AttributeRule attributeID="displayName" permitAny="true"/> +<AttributeRule attributeID="displayName" permitAny="true"/> 
-   <AttributeRule attributeID="givenName" permitAny="true"/> +<AttributeRule attributeID="givenName" permitAny="true"/> 
-   <AttributeRule attributeID="sn" permitAny="true"/> +<AttributeRule attributeID="sn" permitAny="true"/> 
-   <AttributeRule attributeID="mail" permitAny="true"/>+<AttributeRule attributeID="mail" permitAny="true"/> 
 +<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/> 
 +<!-- Optional, if available, for resource authorization --> 
 +<AttributeRule attributeID="dfnEduPersonFinalDegree" permitAny="true"/>
 </AttributeFilterPolicy> </AttributeFilterPolicy>
 </file> </file>
Zeile 364: Zeile 486:
  
   * **IdP - Attributfreigabe**   * **IdP - Attributfreigabe**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]] +      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199502013/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]] 
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199502037/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]
   * **IdP - Relying Party Konfiguration**   * **IdP - Relying Party Konfiguration**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/RelyingPartyConfiguration#RelyingPartyConfiguration-Overrides|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508044/RelyingPartyConfiguration|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]
   * **IdP - internes Tagging mit Entity Attributen**   * **IdP - internes Tagging mit Entity Attributen**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributesFilter|Metadata - EntityAttributesFilter]]+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199507147/EntityAttributesFilter|Metadata - EntityAttributesFilter]]
   * **SP - Metadata Filter (matcher="EntityAttributes")**   * **SP - Metadata Filter (matcher="EntityAttributes")**
       * [[https://wiki.shibboleth.net/confluence/display/SP3/IncludeMetadataFilter|Include MetadataFilter]]       * [[https://wiki.shibboleth.net/confluence/display/SP3/IncludeMetadataFilter|Include MetadataFilter]]
  • Zuletzt geändert: vor 22 Monaten