Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:entity_attributes [2024/07/24 15:09] – [Entity Categories in der DFN-AAI] aaiplus wird derzeit nicht vergeben Doreen Liebenau
+++ de:entity_attributes [2025/08/01 09:58] (aktuell) – [Internationale Entity Categories] Doreen Liebenau
@@ Zeile 62: / Zeile 62: @@
 ====== Entity Categories ======
-Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen ''http://macedir.org/entity-category'' führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
+Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen **%%http://macedir.org/entity-category%%** führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
 IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]].
@@ Zeile 70: / Zeile 70: @@
 ===== Internationale Entity Categories =====
-Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.
+Die folgenden Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]].
 \\
@@ Zeile 85: / Zeile 85: @@
 IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
+**Definition:**
+  * Selbstverpflichtungserklärung von Service Providern
+  * Ansässig in der EU oder im europäischem Wirtschaftsraum
+  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
+**Registrierungskriterien:**
+  * Für SPs gilt:
+    * Liste der angeforderten Attribute stimmt mit den Angaben in den Datenschutzinformationen überein
+    * Metadaten enthalten in englischer Sprachversion (d.h. xml:lang=„en“)
+      * <mdui:DisplayName>
+      * <mdui:Description>
+      * <mdui:PrivacyStatementURL>
+  * Für IdPs, die diese Entity Category unterstützen, gilt:
+    * Nur die angeforderten Attribute freigeben
+    * Wird für ein multi-valued Attribut ein bestimmter Wert verlangt, wird nur dieser freigegeben
+    * Information der Nutzenden über jedes Attribut in PrivacyStatementURL
+**Required Attributes:**
+  * vom SP benötigte Attribute müssen wie folgt gekennzeichnet sein:
+    * RequestedAttribute mit «isRequired="true"» oder
+    * subject-id:req (pairwise-id or subject-id)
 \\
@@ Zeile 90: / Zeile 112: @@
 ==== European Student Identifier ====
 Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]].
+**Definition:**
+  * Zweck: eindeutige Identifikation von Studierenden im Rahmen formaler Lern-, Lehr- und Verwaltungsprozesse innerherhalb der europäischen Hochschullandschaft
+  * zuverlässiger & datenschutzkonformen Austausch studentischer Daten zwischen Institutionen, insbesondere zur Abwicklung von Mobilitätsprogrammen wie Erasmus+
+**Registrierungskriterien (betreffen SPs):**
+  * Ansässig in der EU oder im europäischem Wirtschaftsraum
+  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
+  * In Frage kommen
+    * Studierendenmobilitätsdienste, z. B. das Programm Erasmus+.
+    * SPs zur Übermittlung von Studierendendaten zwischen Bildungseinrichtungen
+    * Hochschulübergreifende Allianzen und Lernmanagementsysteme
+**Required Attribute:**
+  * schacPersonalUniqueCode
 \\
@@ Zeile 95: / Zeile 132: @@
 ==== Research and Scholarship ====
-Die Entity Category Research and Scholarship können Service Provider setzen, deren Dienst die Zusammenarbeit oder das Management in den Bereichen Forschung und Bildung unterstützt. Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
+Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
-Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert.
+**Definition der Entity Category Research and Scholarship:**
+  * SPs, die zumindest teilweise zur Unterstützung der Interaktion, Zusammenarbeit oder Verwaltung von Forschung und Wissenschaft betrieben werden, z.B.
+    * Wikis, Blogs, Projekt- und Fördermittelmanagement-Tools
+    * NICHT: Lizenz-Management
+  * IdPs können die Unterstützung von SPs in dieser Entity Category angeben
+    * [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]]
+**Registrierungskriterien (gelten für SPs):**
+  * unterstützt SAML V2.0 HTTP-POST binding
+  * Föderations-Metadaten werden mind. täglich aktualisiert
+  * Metadaten enthalten: <mdui:DisplayName>, <mdui:InformationURL>, <contactPerson contactType=“technical“>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**R&S-Attribut-Bundle:**
+  * Benutzerkennung
+    * eduPersonPrincipalName (wenn nicht neu zugewiesen)
+    * Oder: eduPersonPrincipalName + eduPersonTargetedID (oder persistenName ID)
+  * Name der Person, E-Mail-Adresse
+    * displayName oder/und givenName + sn
+    * mail
+  * optional Zugehörigkeit
+    * eduPersonScopedAffiliation
+Zusätzliche Attribut-Anforderungen können ausgehandelt werden
+Für IdPs, die diese Entity Category unterstützen gilt:
+  * Freigabe des Attribut-Bundles für eine signifikante Teilmenge der User
+  * Freigabe erfolgt Automatisch oder vorbehaltlich der User-Zustimmung
+  * Bereitstellung eines persistenten, nicht neu zugewiesenen, nicht zielgerichteten User-Identitfiers ist gegeben
 \\
@@ Zeile 105: / Zeile 169: @@
   * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].
+**Definition:**
+  * Fokus: Erhalt personenbezogener Daten ist unerwünscht
+  * Nicht: Bereitstellung von Autorisierungsinformationen
+  * IdPs können Unterstützung der Entity Category anzeigen
+**Registrierungskriterien (betreffen SPs):**
+  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL> und <contactPerson>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**Required Attributes:**
+  * Organization: schacHomeOrganization
+  * Affiliation: eduPersonScopedAffiliation
 ==== Pseudonymous Access ====
   * Siehe unter https://refeds.org/category/pseudonymous
   * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
+**Definition:**
+  * Fokus: Personalisierung auf der Grundlage eines pseudonymen User-Identifiers
+  * Nicht: Bereitstellung von Autorisierungsinformationen
+  * IdPs können Unterstützung der Entity Category anzeigen
+**Registrierungskriterien (betreffen SPs):**
+  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle)
+  * Selbstverpflichtung zur Datenminimierung
+  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet
+  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**Attribut-Bundle:**
+  * Organization: schacHomeOrganization
+  * pseudonymous pairwise user identifier: pairwise-id
+  * Affiliation: eduPersonScopedAffiliation
+  * Assurance: eduPersonAssurance
 ==== Personalized Access ====
   * Siehe unter https://refeds.org/category/personalized
   * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
+**Definition:**
+  * SPs, die nachweislich einige wenige personenbezogenen Daten der Nutzenden benötigen
+  * Nicht: Bereitstellung von Autorisierungsinformationen
+  * IdPs können Unterstützung der Entity Category anzeigen
+**Registrierungskriterien (betreffen SPs):**
+  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle)
+  * Selbstverpflichtung zur Datenminimierung
+  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet
+  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson>
+  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
+**Attribute-Bundle:**
+  * Organization: schacHomeOrganization
+  * user identifier: subject-id
+  * person name: displayName , givenName, sn
+  * email address: mail
+  * affiliation: eduPersonScopedAffiliation
+  * Assurance: eduPersonAssurance
 \\
@@ Zeile 118: / Zeile 232: @@
 Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]].
+SPs akzeptieren weiterhin Assertions von diesem IdP.
+Mögliche Situationen:
+  * Verbesserung der Benutzerfreundlichkeit bei ähnlichen Anzeigenamen von Test/Dev & Prod. IdP
+  * IdPs mit Zugangsbeschränkung auf bestimmte Netzbereiche
+  * Technische Herausforderungen über einen längeren Zeitraum, z.B. Migration
 \\
@@ Zeile 250: / Zeile 370: @@
 <file xml shibboleth2.xml>
 <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/metadata/dfn-aai-metadata.xml"
+     uri="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml"
-     backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">
+     backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="Include" matcher="EntityAttributes">
@@ Zeile 258: / Zeile 378: @@
             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
         </saml:Attribute>
-   </MetadataFilter>
-   <MetadataFilter type="EntityRole">
-      <RetainedRole>md:IDPSSODescriptor</RetainedRole>
    </MetadataFilter>
 </MetadataProvider>
@@ Zeile 317: / Zeile 434: @@
 (siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos)
 <file xml attribute-filter.xml>
-<AttributeFilterPolicy id="metavideoportal_member">
+<AttributeFilterPolicy id="metavideoportal-member">
-   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
+<PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
      attributeName="http://macedir.org/entity-category"
      attributeValue="http://aai.dfn.de/category/metavideoportal-member" />
-   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
+<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
-   <AttributeRule attributeID="samlSubjectID" permitAny="true"/>
+<AttributeRule attributeID="samlSubjectID" permitAny="true"/>
-   <AttributeRule attributeID="displayName" permitAny="true"/>
+<AttributeRule attributeID="displayName" permitAny="true"/>
-   <AttributeRule attributeID="givenName" permitAny="true"/>
+<AttributeRule attributeID="givenName" permitAny="true"/>
-   <AttributeRule attributeID="sn" permitAny="true"/>
+<AttributeRule attributeID="sn" permitAny="true"/>
-   <AttributeRule attributeID="mail" permitAny="true"/>
+<AttributeRule attributeID="mail" permitAny="true"/>
+<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/>
+<!-- Optional, if available, for resource authorization -->
+<AttributeRule attributeID="dfnEduPersonFinalDegree" permitAny="true"/>
 </AttributeFilterPolicy>
 </file>
@@ Zeile 366: / Zeile 486: @@
   * **IdP - Attributfreigabe**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199502013/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]]
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199502037/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]
   * **IdP - Relying Party Konfiguration**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/RelyingPartyConfiguration#RelyingPartyConfiguration-Overrides|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508044/RelyingPartyConfiguration|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]
   * **IdP - internes Tagging mit Entity Attributen**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributesFilter|Metadata - EntityAttributesFilter]]
+      * [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199507147/EntityAttributesFilter|Metadata - EntityAttributesFilter]]
   * **SP - Metadata Filter (matcher="EntityAttributes")**
       * [[https://wiki.shibboleth.net/confluence/display/SP3/IncludeMetadataFilter|Include MetadataFilter]]

entity-category entity-attribute subjectidentifierattributes