Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:entity_attributes [2025/08/01 09:15] – [Research and Scholarship] Definition, Registrierungskriterien, Attribut-Bundle Doreen Liebenaude:entity_attributes [2026/02/21 19:13] (aktuell) – [Beispiele (Filter)] Wolfgang Pempe
Zeile 70: Zeile 70:
 ===== Internationale Entity Categories ===== ===== Internationale Entity Categories =====
  
-Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.+Die folgenden Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. 
  
 \\ \\
Zeile 85: Zeile 85:
  
 IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren. IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren.
 +
 +**Definition:** 
 +  * Selbstverpflichtungserklärung von Service Providern
 +  * Ansässig in der EU oder im europäischem Wirtschaftsraum
 +  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
 +
 +**Registrierungskriterien:**
 +  * Für SPs gilt:
 +    * Liste der angeforderten Attribute stimmt mit den Angaben in den Datenschutzinformationen überein
 +    * Metadaten enthalten in englischer Sprachversion (d.h. xml:lang=„en“) 
 +      * <mdui:DisplayName>
 +      * <mdui:Description>
 +      * <mdui:PrivacyStatementURL> 
 +  * Für IdPs, die diese Entity Category unterstützen, gilt: 
 +    * Nur die angeforderten Attribute freigeben 
 +    * Wird für ein multi-valued Attribut ein bestimmter Wert verlangt, wird nur dieser freigegeben
 +    * Information der Nutzenden über jedes Attribut in PrivacyStatementURL
 +
 +**Required Attributes:** 
 +  * vom SP benötigte Attribute müssen wie folgt gekennzeichnet sein:
 +    * RequestedAttribute mit «isRequired="true"» oder
 +    * subject-id:req (pairwise-id or subject-id)
  
 \\ \\
Zeile 90: Zeile 112:
 ==== European Student Identifier ==== ==== European Student Identifier ====
 Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]]. Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]].
 +
 +**Definition:**
 +  * Zweck: eindeutige Identifikation von Studierenden im Rahmen formaler Lern-, Lehr- und Verwaltungsprozesse innerherhalb der europäischen Hochschullandschaft
 +  * zuverlässiger & datenschutzkonformen Austausch studentischer Daten zwischen Institutionen, insbesondere zur Abwicklung von Mobilitätsprogrammen wie Erasmus+
 +
 +**Registrierungskriterien (betreffen SPs):**
 +  * Ansässig in der EU oder im europäischem Wirtschaftsraum
 +  * SPs aus Drittländern müssen ein angemessenes Datenschutzniveau nach Art. 45 DSGVO nachweisen
 +  * In Frage kommen 
 +    * Studierendenmobilitätsdienste, z. B. das Programm Erasmus+.
 +    * SPs zur Übermittlung von Studierendendaten zwischen Bildungseinrichtungen 
 +    * Hochschulübergreifende Allianzen und Lernmanagementsysteme
 +
 +**Required Attribute:**
 +  * schacPersonalUniqueCode
  
 \\ \\
Zeile 132: Zeile 169:
   * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].   * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]].
  
 +**Definition:** 
 +  * Fokus: Erhalt personenbezogener Daten ist unerwünscht
 +  * Nicht: Bereitstellung von Autorisierungsinformationen 
 +  * IdPs können Unterstützung der Entity Category anzeigen
 +
 +**Registrierungskriterien (betreffen SPs):**
 +  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL> und <contactPerson>
 +  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
 +
 +**Required Attributes:**
 +  * Organization: schacHomeOrganization
 +  * Affiliation: eduPersonScopedAffiliation
 ==== Pseudonymous Access ==== ==== Pseudonymous Access ====
   * Siehe unter https://refeds.org/category/pseudonymous   * Siehe unter https://refeds.org/category/pseudonymous
   * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]   * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
  
 +**Definition:** 
 +  * Fokus: Personalisierung auf der Grundlage eines pseudonymen User-Identifiers
 +  * Nicht: Bereitstellung von Autorisierungsinformationen 
 +  * IdPs können Unterstützung der Entity Category anzeigen
 +
 +**Registrierungskriterien (betreffen SPs):**
 +  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle)
 +  * Selbstverpflichtung zur Datenminimierung 
 +  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet
 +  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson>
 +  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
 +
 +**Attribut-Bundle:**
 +  * Organization: schacHomeOrganization
 +  * pseudonymous pairwise user identifier: pairwise-id
 +  * Affiliation: eduPersonScopedAffiliation
 +  * Assurance: eduPersonAssurance 
 ==== Personalized Access ==== ==== Personalized Access ====
   * Siehe unter https://refeds.org/category/personalized   * Siehe unter https://refeds.org/category/personalized
   * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]   * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]]
 +
 +**Definition:** 
 +  * SPs, die nachweislich einige wenige personenbezogenen Daten der Nutzenden benötigen
 +  * Nicht: Bereitstellung von Autorisierungsinformationen 
 +  * IdPs können Unterstützung der Entity Category anzeigen
 +
 +**Registrierungskriterien (betreffen SPs):**
 +  * nachgewiesener und dokumentierter Bedarf an den Informationen (Attribut-Bundle)
 +  * Selbstverpflichtung zur Datenminimierung 
 +  * Attribute werden nur für den im Antrag beschriebenen Zweck verwendet
 +  * Metadaten enthalten <mdui:DisplayName>, <mdui:InformationURL>,<mdui:PrivacyStatementURL> und <contactPerson>
 +  * Englische Sprachversion wird empfohlen (d.h. xml:lang=„en“)
 +
 +**Attribute-Bundle:**
 +  * Organization: schacHomeOrganization
 +  * user identifier: subject-id 
 +  * person name: displayName , givenName, sn 
 +  * email address: mail 
 +  * affiliation: eduPersonScopedAffiliation
 +  * Assurance: eduPersonAssurance 
 +
  
 \\ \\
Zeile 283: Zeile 370:
 <file xml shibboleth2.xml> <file xml shibboleth2.xml>
 <MetadataProvider type="XML" <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml"+     url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml"
      backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">      backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
Zeile 291: Zeile 378:
             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>             <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
         </saml:Attribute>         </saml:Attribute>
 +   </MetadataFilter>
 +</MetadataProvider>
 +
 +</file>
 +
 +\\
 +
 +**SP-seitiger Include-Filter, bei der die Metadaten, mit denen der SP arbeitet, auf IdPs sowohl aus dem bwIDM- als auch aus dem IDM.nrw-Projekt beschränkt werden (Kooperations-Szenario):**
 +
 +<file xml shibboleth2.xml>
 +<MetadataProvider type="XML"
 +     url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml"
 +     backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
 +   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
 +   <MetadataFilter type="Include" matcher="EntityAttributes">
 +         <saml:Attribute Name="http://macedir.org/entity-category"
 +                         NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
 +               <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
 +         </saml:Attribute>
 +         <saml:Attribute Name="http://macedir.org/entity-category"
 +                         NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
 +               <saml:AttributeValue>http://aai.dfn.de/category/idm.nrw-member</saml:AttributeValue>
 +         </saml:Attribute>
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
Zeile 302: Zeile 412:
 <file xml shibboleth2.xml> <file xml shibboleth2.xml>
 <MetadataProvider type="XML" <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml"+     url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml"
      backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">      backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
  • Zuletzt geändert: vor 7 Monaten