Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:entity_attributes [2019/04/30 09:36]
Silke Meyer
de:entity_attributes [2019/08/06 16:18] (aktuell)
Wolfgang Pempe [DFN-AAI]
Zeile 1: Zeile 1:
 +~~NOTOC~~
 ====== Entity Attribute ====== ====== Entity Attribute ======
 +{{INLINETOC 2}}
 Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten,​ die es ermöglicht,​ Entities (IdPs, Attribute Authorities,​ SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit),​ mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#​referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:​de:​shibidp3attrfilter|Attribut-Konfiguration]]. Bei Entity Attributen handelt es sich um eine Erweiterung (Extension) der SAML2-Metadaten,​ die es ermöglicht,​ Entities (IdPs, Attribute Authorities,​ SPs), die bestimmte Merkmale teilen (z.B. Projektzugehörigkeit),​ mittels solcher Attribute in den Metadaten zu markieren und auf diese Weise zu Gruppen zusammenzufassen. Anhand der Attributnamen und -Werte lassen sich sowohl Metadaten filtern (insbes. SP-seitig) als auch Attributfreigaben an Gruppen von SPs definieren oder in der //Relying Party// Konfiguration bestimmte Profile aktivieren (IdP-seitig) - siehe [[#​referenzen_shibboleth_wiki|unten]] sowie die Beispiele unter [[:​de:​shibidp3attrfilter|Attribut-Konfiguration]].
  
Zeile 7: Zeile 8:
 ===== Beispiele ===== ===== Beispiele =====
  
-==== eduGAIN Registration Authority ​==== +==== Verlässlichkeitsklasse des IdP ==== 
- +Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt. 
-Hier werden in den eduGAIN-Metadaten ​die //​Registration Authorities//​ (=Föderationen) angegeben, über die die jeweilige Entity in eduGAIN registriert wurde (für Attributfreigabe ab IdP 3.x obsolet, siehe [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​RegistrationAuthorityConfiguration|Doku im Shibboleth Wiki]]): +<file xml dfn-aai-idp-metadata.xml>​ 
- +  <​md:​EntityDescriptor entityID="​https://​idp.scc.kit.edu/idp/shibboleth">
-<file xml dfn-aai-edugain+sp-metadata.xml>​ +
-  <​md:​EntityDescriptor entityID="​https://​foodl.org/​simplesaml/​module.php/saml/sp/​metadata.php/​saml">+
     <​md:​Extensions>​     <​md:​Extensions>​
-      <​mdrpi:​RegistrationInfo registrationAuthority="​http://feide.no/" registrationInstant="​2011-05-05T06:16:34Z">​ +      <​mdrpi:​RegistrationInfo registrationAuthority="​https://www.aai.dfn.de" registrationInstant="​2010-03-15T10:30:11Z">​ 
-        <​mdrpi:​RegistrationPolicy xml:​lang="​en">​http://www.feide.no/files/feide/metadata-registration-practice-statement.pdf</​mdrpi:​RegistrationPolicy>​+        <​mdrpi:​RegistrationPolicy xml:​lang="​en">​https://www.aai.dfn.de/en/join/</​mdrpi:​RegistrationPolicy>​ 
 +        <​mdrpi:​RegistrationPolicy xml:​lang="​de">​https://​www.aai.dfn.de/​teilnahme/​</​mdrpi:​RegistrationPolicy>​
       </​mdrpi:​RegistrationInfo>​       </​mdrpi:​RegistrationInfo>​
       <​mdattr:​EntityAttributes>​       <​mdattr:​EntityAttributes>​
-        <​saml:​Attribute Name="​http://​aai.dfn.de/​edugain/registrationAuthority" NameFormat="​urn:​oasis:​names:​tc:​SAML:​2.0:​attrname-format:​uri">​ +        ​<!-- ... --> 
-          <​saml:​AttributeValue>​http://​feide.no/​</​saml:​AttributeValue>​+        ​<​saml:​Attribute Name="​http://​aai.dfn.de/​loa/degree-of-reliance" NameFormat="​urn:​oasis:​names:​tc:​SAML:​2.0:​attrname-format:​uri">​ 
 +          <​saml:​AttributeValue>​advanced</​saml:​AttributeValue>​
         </​saml:​Attribute>​         </​saml:​Attribute>​
       </​mdattr:​EntityAttributes>​       </​mdattr:​EntityAttributes>​
 +    </​md:​Extensions>​
 </​file>​ </​file>​
- 
 ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ==== ==== Sirtfi (Security Incident Response Trust Framework for Federated Identity) ====
- 
 Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers,​ die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://​wiki.refeds.org/​display/​SIRTFI/​SIRTFI+Home|https://​wiki.refeds.org/​display/​SIRTFI/​SIRTFI+Home]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen,​ dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird:  Dieses Entity Attribut bezeugt die Bereitschaft und die Fähigkeit des jeweiligen IdP-, AA- oder SP-Betreibers,​ die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://​wiki.refeds.org/​display/​SIRTFI/​SIRTFI+Home|https://​wiki.refeds.org/​display/​SIRTFI/​SIRTFI+Home]]. **Als formales Kriterium muss in den Metadaten ein Security Kontakt benannt sein (keine persönliche E-Mail-Adresse).** Um sicherzustellen,​ dass die Anforderungen bezüglich der Betriebssicherheit [OS] eingehalten werden, prüft das Team der DFN-AAI zwei technische Kriterien, bevor die entsprechende Checkbox freigegeben wird: 
   - Es wird vorausgesetzt,​ dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen   - Es wird vorausgesetzt,​ dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen
Zeile 46: Zeile 46:
 </​file>​ </​file>​
  
-===== Entity Categories =====+==== eduGAIN Registration Authority ​====
  
-Das Entity Attribut **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://​wiki.refeds.org/​display/​ENT/​Entity-Categories+Home|https://​wiki.refeds.org/​display/​ENT/​Entity-Categories+Home]]+Hier werden in den eduGAIN-Metadaten die //​Registration Authorities//​ (=Föderationen) angegeben, über die die jeweilige Entity in eduGAIN registriert wurde (für Attributfreigabe ab IdP 3.x obsolet, siehe [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​RegistrationAuthorityConfiguration|Doku im Shibboleth Wiki]]): 
 + 
 +<file xml dfn-aai-edugain+sp-metadata.xml>​ 
 +  <​md:​EntityDescriptor entityID="​https://​foodl.org/​simplesaml/​module.php/​saml/​sp/​metadata.php/​saml">​ 
 +    <​md:​Extensions>​ 
 +      <​mdrpi:​RegistrationInfo registrationAuthority="​http://​feide.no/"​ registrationInstant="​2011-05-05T06:​16:​34Z">​ 
 +        <​mdrpi:​RegistrationPolicy xml:​lang="​en">​http://​www.feide.no/​files/​feide/​metadata-registration-practice-statement.pdf</​mdrpi:​RegistrationPolicy>​ 
 +      </​mdrpi:​RegistrationInfo>​ 
 +      <​mdattr:​EntityAttributes>​ 
 +        <​saml:​Attribute Name="​http://​aai.dfn.de/​edugain/​registrationAuthority"​ NameFormat="​urn:​oasis:​names:​tc:​SAML:​2.0:​attrname-format:​uri">​ 
 +          <​saml:​AttributeValue>​http://​feide.no/</​saml:​AttributeValue>​ 
 +        </​saml:​Attribute>​ 
 +      </​mdattr:​EntityAttributes>​ 
 +</​file>​ 
 + 
 +===== Entity Categories ===== 
 +Das [[#​entity_attribute|Entity Attribut]] **Entity Category** wird häufig dazu verwendet, Service Provider, die bestimmte Anforderungen stellen und/oder erfüllen, zu markieren. Dieses Attribut kann beliebig viele Werte annehmen. Ergänzend zu Entity Categories können **Entity Category Support** Attribute definiert werden, mit denen IdP signalisieren können, dass für SPs der entsprechende Entity Categorie eine Attributfreigabe erteilt wird. Zu diesem Themenkomplex siehe [[https://​wiki.refeds.org/​display/​ENT/​Entity-Categories+Home|https://​wiki.refeds.org/​display/​ENT/​Entity-Categories+Home]]
  
 +==== International ====
 **International** kommen vor allem diese Entity Categories zum Einsatz: **International** kommen vor allem diese Entity Categories zum Einsatz:
  
Zeile 56: Zeile 73:
   * [[https://​refeds.org/​category/​hide-from-discovery|Hide from Discovery (nur IdPs)]]   * [[https://​refeds.org/​category/​hide-from-discovery|Hide from Discovery (nur IdPs)]]
  
-In unserer ​**Metadatenverwaltung** tauchen die entsprechenden Checkboxen erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.+In der DFN-AAI ​**Metadatenverwaltung** tauchen die entsprechenden Checkboxen erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.
   * Für die Entity Category für den GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA sind die Bedingungen im [[https://​wiki.geant.org/​display/​eduGAIN/​Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr mdui:​PrivacyStatementURL auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein.   * Für die Entity Category für den GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA sind die Bedingungen im [[https://​wiki.geant.org/​display/​eduGAIN/​Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr mdui:​PrivacyStatementURL auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein.
   * Für die Entity Category Research and Scholarship finden Sie bei [[https://​refeds.org/​category/​research-and-scholarship|REFEDS]] die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).   * Für die Entity Category Research and Scholarship finden Sie bei [[https://​refeds.org/​category/​research-and-scholarship|REFEDS]] die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
Zeile 97: Zeile 114:
 </​file>​ </​file>​
  
-In der **DFN-AAI** ​ kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. virtuelle Subföderationen zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben:+==== DFN-AAI ==== 
 +In der **DFN-AAI** ​ kommen verschiedene Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben und anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden können, sog. **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben:
  
-  * [[http://aai.dfn.de/​category/​bwidm-member|http://​aai.dfn.de/​category/​bwidm-member]] +  * [[de:aai:ec_bwidm-member|http://​aai.dfn.de/​category/​bwidm-member]] 
-  * [[http://​clarin.eu/​category/​clarin-member|http://​clarin.eu/​category/​clarin-member]] +  * [[de:aai:​ec_clarin-member|http://​clarin.eu/​category/​clarin-member]] 
-  * [[http://aai.dfn.de/​category/​ndsidm-member|http://​aai.dfn.de/​category/​ndsidm-member]] +  * [[de:aai:ec_ndsidm-member|http://​aai.dfn.de/​category/​ndsidm-member]] 
-  * [[http://aai.dfn.de/​category/​vetmed-member|http://​aai.dfn.de/​category/​vetmed-member]] +  * [[de:aai:ec_vetmed-member|http://​aai.dfn.de/​category/​vetmed-member]] 
-  * [[http://aai.dfn.de/​category/​vhb-member|http://​aai.dfn.de/​category/​vhb-member]] +  * [[de:aai:ec_vhb-member|http://​aai.dfn.de/​category/​vhb-member]] 
-  * [[http://aai.dfn.de/​category/​rarp-member|http://​aai.dfn.de/​category/​rarp-member]] +  * [[de:aai:ec_rarp-member|http://​aai.dfn.de/​category/​rarp-member]] 
-  * [[http://aai.dfn.de/​category/​public-idp|http://​aai.dfn.de/​category/​public-idp]]+  * [[de:aai:ec_public-idp|http://​aai.dfn.de/​category/​public-idp]]
  
-Implementierungswünsche für weitere Entity Categories richten Sie bitte an hotline@aai.dfn.de+Implementierungswünsche für weitere Entity Categories richten Sie bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]].
  
 === Beispiele (Metadaten) === === Beispiele (Metadaten) ===
  • Zuletzt geändert: vor 6 Monaten