Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:entity_attributes [2020/04/21 15:04] – [Entity Categories in der DFN-AAI] Silke Meyerde:entity_attributes [2023/11/01 18:57] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Entity Attributes ====== ====== Entity Attributes ======
-<callout color="#ff9900" title="Entity Attributes?"> 
-Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um zugriffsberechtigte IdPs festzumachen. 
-</callout> 
  
-===== Verlässlichkeitsklasse des IdP =====+<callout color="#ff9900" title="Entity Attributes?"> Bei Entity Attributen handelt es sich um eine [[https://wiki.oasis-open.org/security/SAML2MetadataAttr|Erweiterung der SAML2-Metadaten]], mit der IdPs, Attribute Authorities oder SPs zu Gruppen zusammengefasst werden können. Systeme mit gemeinsamen Merkmalen, z.B. einer Projektzugehörigkeit, werden mit Entity Attributen in den Metadaten markiert. Die Attributnamen und -werte können dann zum Filtern verwendet werden: IdP-seitig ist das interessant, um Attributfreigaben für SP-Gruppen zu vereinheitlichen oder um in der Relying Party-Konfiguration Profile zu aktivieren. SP-seitig können damit Metadaten gefiltert werden, um die Gruppe der zugriffsberechtigten IdPs zu definieren. </callout>
  
-Über dieses Entity Attribut wird die [[de:degrees_of_reliance|Verlässlichkeitsklasse]] des Identity Providers angezeigt.+\\
  
-<file xml dfn-aai-idp-metadata.xml> +===== SP: benötigte Subject Identifier Attribute ===== 
-  <md:EntityDescriptor entityID="https://idp.scc.kit.edu/idp/shibboleth"> +Die Angabe, ob ein Service Provider eine [[de:common_attributes#a16|Subject Id]] oder eine [[de:common_attributes#a16|Pairwise Id]] (oder eine von beiden) benötigt, erfolgt über ein entsprechendes Entity Attribut (zulässige Werte: ''subject-id'', ''pairwise-id'', ''any'', ''none''). Siehe hierzu die [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation der SAML V2.0 Subject Identifier Attributes]]. Beispiele zur Attributfreigabe finden sich auf [[de:shibidp:config-attributes-subject_ids|dieser Seite]]. 
-    <md:Extensions> + 
-      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2010-03-15T10:30:11Z"> +Hierzu existiert eine Schaltfläche in der DFN-AAI Metadatenverwaltung: 
-        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/en/join/</mdrpi:RegistrationPolicy> + 
-        <mdrpi:RegistrationPolicy xml:lang="de">https://www.aai.dfn.de/teilnahme/</mdrpi:RegistrationPolicy>+{{:de:metadata_admin_tool:subject-id.png?400|}} 
 + 
 +<file xml dfn-aai-sp-metadata.xml> 
 +  <EntityDescriptor entityID="https://testsp3.aai.dfn.de/shibboleth"> 
 +    <Extensions> 
 +      <mdrpi:RegistrationInfo registrationAuthority="https://www.aai.dfn.de" registrationInstant="2020-01-31T10:16:59Z"> 
 +        <mdrpi:RegistrationPolicy xml:lang="en">https://www.aai.dfn.de/fileadmin/documents/mrps_dfn-aai_1.0.pdf</mdrpi:RegistrationPolicy>
       </mdrpi:RegistrationInfo>       </mdrpi:RegistrationInfo>
       <mdattr:EntityAttributes>       <mdattr:EntityAttributes>
-        <!-- ... --> +        <saml:Attribute Name="urn:oasis:names:tc:SAML:profiles:subject-id:req" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> 
-        <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> +          <saml:AttributeValue>subject-id</saml:AttributeValue>
-          <saml:AttributeValue>advanced</saml:AttributeValue>+
         </saml:Attribute>         </saml:Attribute>
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
-    </md:Extensions>+    </Extensions>
 </file> </file>
  
 ===== Sirtfi ===== ===== Sirtfi =====
  
-<callout color="#ff9900" title="Sirtfi"> +<callout color="#ff9900" title="Sirtfi"> Dieses seltsame Wort wird "certify" ausgesprochen. Es steht für "Security Incident Response Trust Framework for Federated Identity". Dieses Entity Attribut bezeugt die Bereitschaft und Fähigkeit des IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|die REFEDS-Website]] und unsere Dokumentation zu [[:de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Sirtfi Compliance in der DFN-AAI]]. </callout> 
-Dieses seltsame Wort wird "certify" ausgesprochen. Es steht für "Security Incident Response Trust Framework for Federated Identity". Dieses Entity Attribut bezeugt die Bereitschaft und Fähigkeit des IdP-, AA- oder SP-Betreibers, die Anforderungen des Sirtfi Frameworks einzuhalten und bei Sicherheitsvorfällen die Gegenstellen zeitnah zu informieren. Siehe hierzu [[https://wiki.refeds.org/display/SIRTFI/SIRTFI+Home|die REFEDS-Website]] und unsere Dokumentation zu [[de:aai:incidentresponse#sirtfi_compliance_fuer_idps_und_sps_in_der_dfn-aai|Sirtfi Compliance in der DFN-AAI]]. + 
-</callout>+Das Sirtfi Entity Attribut ''urn:oasis:names:tc:SAML:attribute:assurance-certification'' darf nur unter den im Framework festgelegten Bedingungen geführt werden. Wir prüfen folgende formale und technische Kriterien, bevor wir die entsprechende Checkbox freigeben:
  
-Das Sirtfi Entity Attribut darf nur unter den im Framework festgelegten Bedingungen geführt werden. Wir prüfen folgende formale und technische Kriterien, bevor wir die entsprechende Checkbox freigeben: 
   - In den Metadaten muss ein Security-Kontakt benannt sein. Dabei muss es sich um eine Funktionsadresse handeln, keine persönliche E-Mail-Adresse.   - In den Metadaten muss ein Security-Kontakt benannt sein. Dabei muss es sich um eine Funktionsadresse handeln, keine persönliche E-Mail-Adresse.
   - Wir setzen voraus, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen.   - Wir setzen voraus, dass Sirtfi-konforme Einrichtungen die jeweils aktuellste Software-Version für den IdP bzw. SP einsetzen.
-  - Die SSL-Konfiguration des Webservers muss aktueller Best Practice entsprechen. Dazu ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] heran. +  - Die SSL-Konfiguration des Webservers muss aktueller Best Practice entsprechen. Dazu ziehen wir den Servertest von [[https://www.ssllabs.com/|ssllabs.com]] heran
 + 
 +[[https://refeds.org/wp-content/uploads/2022/08/Sirtfi-v2.pdf|Sirtfi Version 2]] beinhaltet alle Punkte der [[https://refeds.org/wp-content/uploads/2016/01/Sirtfi-1.0.pdf|Version 1]], [[https://refeds.org/wp-content/uploads/2022/08/Coexistence-of-Sirtfi-v1-and-v2.pdf|ergänzt und präzisiert]] diese jedoch. Wenn für eine Entity (IdP/SP) Konformität zu Sirtfi 2.0 bestätigt wird, müssen daher als Werte für das entsprechende Entity Attribut sowohl ''https://refeds.org/sirtfi'' als auch ''https://refeds.org/sirtfi2'' gesetzt werden - siehe das Beispiel unten.
  
-Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[de:aai:incidentresponse|Incident Response]].+Zu den Maßnahmen und Prozeduren im Falle eines Sicherheitsvorfalls siehe unter [[:de:aai:incidentresponse|Incident Response]].
  
 <file xml dfn-aai-edugain+sp-metadata.xml> <file xml dfn-aai-edugain+sp-metadata.xml>
Zeile 46: Zeile 49:
         <!-- ... -->         <!-- ... -->
         <saml:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">         <saml:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
 +          <saml:AttributeValue>https://refeds.org/sirtfi2</saml:AttributeValue>
           <saml:AttributeValue>https://refeds.org/sirtfi</saml:AttributeValue>           <saml:AttributeValue>https://refeds.org/sirtfi</saml:AttributeValue>
         </saml:Attribute>         </saml:Attribute>
Zeile 51: Zeile 55:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </md:Extensions>     </md:Extensions>
 +
 </file> </file>
 +
 +\\
  
 ====== Entity Categories ====== ====== Entity Categories ======
-Eine Entity Category ist genau genommen auch ein Entity Attribut. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.+ 
 +Eine Entity Category ist technisch gesehen ein Wert eines Entity Attributs, das den Namen ''http://macedir.org/entity-category'' führt. Service Provider nutzen Entity Categories, um über die Metadaten zu kommunizieren, dass sie bestimmte Anforderungen stellen und/oder erfüllen. Ein SP kann beliebig viele Entity Categories setzen.
  
 IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]]. IdP-seitig können als "Gegenstücke" **Entity Category Support**-Attribute definiert werden. Damit signalisieren IdPs, dass sie für SPs der Entity Category eine Attributfreigabe erteilen. Zu diesem Themenkomplex siehe [[https://wiki.refeds.org/display/ENT/Entity-Categories+Home|https://wiki.refeds.org/display/ENT/Entity-Categories+Home]].
 +
 +\\
  
 ===== Internationale Entity Categories ===== ===== Internationale Entity Categories =====
  
-Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.+Drei Entity Categories kommen international zum Einsatz. Um sie für Ihre Systeme in der DFN-AAI zu setzen, verwenden Sie die [[https://mdv.aai.dfn.de|Metadatenverwaltung]]. Dort tauchen die Checkboxen allerdings erst auf, wenn Ihr System die jeweiligen technischen Bedingungen erfüllt.
  
-==== GÉANT Data Protection Code of Conduct ====+\\
  
-Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend den geltenden Datenschutzrichtlinien behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]].+==== GÉANT Data Protection Code of Conduct (CoCo v.1) ====
  
-Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. Unsere Metadatenverwaltung prüft, ob Ihr ''mdui:PrivacyStatementURL'' auf ein Dokument verweist, das den Code of Conduct explizit referenziert. Des Weiteren müssen die Requested Attributes in den Metadaten deklariert sein+Die Entity Category GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) ist eine Selbstverpflichtungserklärung von Service Providern. Damit sagen Sie über sich aus, dass sie die über SAML2 übertragenen personenbezogenen Daten von Endnutzern entsprechend der EU Datenschutzrichtlinie  95/46/EG von 1995 behandeln. Hintergrundinformationen finden Sie hier im [[https://doku.tid.dfn.de/de:geant_coco|Wiki]]. Die Bedingungen für das Tragen der Entity Category sind im [[https://wiki.geant.org/display/eduGAIN/Recipe+for+a+Service+Provider|GÉANT Wiki]] dokumentiert. 
  
-  * [[:de:shibidp3attrfilter#attributfreigabe_fuer_code-of-conduct_sps|Coco Konfig.]]+IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren. 
 + 
 +==== REFEDS Data Protection Code of Conduct (CoCo v.2) ==== 
 + 
 +Die Entity Category REFEDS Data Protection Code of Conduct (CoCco v.2) signalisiert, dass Service Provider, die dieser Entity Category angehören, die auf der DSGVO basierenden [[https://refeds.org/wp-content/uploads/2022/05/REFEDS-CoCo-Best-Practicev2.pdf|Best Practices]] befolgen, die dieses Entity Category definiertSiehe hierzu auch unter https://refeds.org/category/code-of-conduct/v2.  
 + 
 +IdP-Betreiber, die die von Code of Conduct-SPs benötigten Attribute freigeben möchten, können sich bzgl. der Filterregel an diesen [[:de:shibidp:config-attributes-coco|Beispielen]] orientieren. 
 + 
 +\\ 
 + 
 +==== European Student Identifier ==== 
 +Siehe unter https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category und die Wiki-Seite [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]]. 
 + 
 +\\
  
 ==== Research and Scholarship ==== ==== Research and Scholarship ====
  
-Die Entity Category Research and Scholarship können Service Provider setzen, deren Dienst die Zusammenarbeit oder das Management in den Bereichen Forschung und Bildung unterstützt. +Die Entity Category Research and Scholarship können Service Provider setzen, deren Dienst die Zusammenarbeit oder das Management in den Bereichen Forschung und Bildung unterstützt. Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).
-Die Bedingungen sind bei [[https://refeds.org/category/research-and-scholarship|REFEDS]] aufgelistet, wichtig sind für Sie vor allem die Registrierungskriterien (Punkt 4) und die Attributliste (Punkt 5).+
  
-  * [[:de:shibidp3attrfilter#refeds_research_and_scholarship_entity_category|Research and Scholarship Konfig]]+Die Attributfreigaben, die IdP-seitig erfolgen können, sind unter [[:de:shibidp:config-attributes-rands|Attributfreigaben für die REFEDS Research and Scholarship Entity Category]] dokumentiert. 
 + 
 +\\ 
 + 
 +==== Anonymous Access ==== 
 +  * Siehe unter https://refeds.org/category/anonymous 
 +  * Konfigurationsbeispiel für die Attributfreigabe am IdP unter [[de:shibidp:config-attributes#anonymous_access_entity_category|Anpassung der Attributkonfiguration]]. 
 + 
 +==== Pseudonymous Access ==== 
 +  * Siehe unter https://refeds.org/category/pseudonymous 
 +  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]] 
 + 
 +==== Personalized Access ==== 
 +  * Siehe unter https://refeds.org/category/personalized 
 +  * [[de:shibidp:config-attributes-access_ecs|Konfigurationsbeispiel für die Attributfreigabe am IdP]] 
 + 
 +\\
  
 ==== Hide from Discovery ==== ==== Hide from Discovery ====
-  * [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] (nur IdPs)+ 
 +Der Entity Category [[https://refeds.org/category/hide-from-discovery|Hide from Discovery]] können IdPs zugeordnet werden, die nicht in zentralen Discovery Services angezeigt werden sollen, wie z.B. dem [[de:discovery#die_zentralen_discovery_services_des_dfn-verein|DFN-AAI WAYF]]. 
 + 
 +\\
  
 ==== Beispiele ==== ==== Beispiele ====
Zeile 93: Zeile 134:
       <mdattr:EntityAttributes>       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>+          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
           <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>           <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>
           <saml:AttributeValue>http://clarin.eu/category/clarin-member</saml:AttributeValue>           <saml:AttributeValue>http://clarin.eu/category/clarin-member</saml:AttributeValue>
Zeile 99: Zeile 140:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
-Hier sehen Sie den Metadatenauszug eines Identity Providers: Er hat Attributfreigaben für Code of Conduct-getreue SPs konfiguriert und verpflichtet sich den Kriterien der Verlässlichkeitsklasse Advanced.+Hier sehen Sie den Metadatenauszug eines Identity Providers, der Attributfreigaben für Code of Conduct-getreue SPs konfiguriert hat.
  
-<file xml dfn-aai-metadata.xml>+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://idp.hs-bremen.de/idp/shibboleth">   <EntityDescriptor entityID="https://idp.hs-bremen.de/idp/shibboleth">
     <Extensions>     <Extensions>
Zeile 112: Zeile 154:
       <mdattr:EntityAttributes>       <mdattr:EntityAttributes>
         <saml:Attribute Name="http://macedir.org/entity-category-support" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">         <saml:Attribute Name="http://macedir.org/entity-category-support" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
-          <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue> +          <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</saml:AttributeValue>
-        </saml:Attribute> +
-        <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> +
-          <saml:AttributeValue>advanced</saml:AttributeValue>+
         </saml:Attribute>         </saml:Attribute>
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
 ===== Entity Categories in der DFN-AAI ===== ===== Entity Categories in der DFN-AAI =====
  
-<callout color="#ff9900" title="Eigene Entity Category?"> +<callout color="#ff9900" title="Eigene Entity Category?"> Implementierungswünsche für weitere Entity Categories richten Sie bitte an [[hotline@aai.dfn.de|]]. </callout>
-Implementierungswünsche für weitere Entity Categories richten Sie bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. +
-</callout>+
  
-In der DFN-AAI  kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen** zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Folgende Kategorien werden derzeit vergeben:+In der DFN-AAI kommen Entity Categories zum Einsatz, die z.B. nach Projektzugehörigkeit vergeben werden. Sie können anhand der IdP- und SP-seitigen Filtermechanismen dazu eingesetzt werden, sogenannte **virtuelle Subföderationen**  zu bilden, z.B. für bwIDM, Nds-AAI und die Virtuelle Hochschule Bayern. Welche IdPs und SPs zu einer solchen Entity Category / virtuellen Subföderation gehören, lässt sich in der Metadatenverwaltung über eine sog. **Entitätenliste** modellieren. \\ 
 +Hierbei ist folgendes zu beachten:   
 +  * Die Liste und die zugehörige Entity Category müssen vom [[hotline@aai.dfn.de,|DFN-AAI]] Team initial eingerichtet werden 
 +  * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins 
 +Folgende Kategorien werden derzeit vergeben: 
 +  * [[http://aai.dfn.de/category/aai-plus|http://aai.dfn.de/category/aai-plus]] 
 +  * [[http://aai.dfn.de/category/bwidm-member|http://aai.dfn.de/category/bwidm-member]] 
 +  * [[http://aai.dfn.de/category/campus-lsa-member|http://aai.dfn.de/category/campus-lsa-member]] 
 +  * [[http://clarin.eu/category/clarin-member|http://clarin.eu/category/clarin-member]] 
 +  * [[http://aai.dfn.de/category/fid-licences-member|http://aai.dfn.de/category/fid-licences-member]] 
 +  * [[http://aai.dfn.de/category/heidi-member|http://aai.dfn.de/category/heidi-member]] 
 +  * [[http://aai.dfn.de/category/highmeducation-member|http://aai.dfn.de/category/highmeducation-member]] 
 +  * [[http://aai.dfn.de/category/idm.nrw-member|http://aai.dfn.de/category/idm.nrw-member]] 
 +  * [[http://aai.dfn.de/category/metavideoportal-member|http://aai.dfn.de/category/metavideoportal-member]] 
 +  * [[http://aai.dfn.de/category/ndsidm-member|http://aai.dfn.de/category/ndsidm-member]] 
 +  * [[http://aai.dfn.de/category/no-aes-gcm-support|http://aai.dfn.de/category/no-aes-gcm-support]] 
 +  * [[http://aai.dfn.de/category/public-idp|http://aai.dfn.de/category/public-idp]] 
 +  * [[http://aai.dfn.de/category/rarp-member|http://aai.dfn.de/category/rarp-member]] 
 +  * [[http://aai.dfn.de/category/sh-idm-member|http://aai.dfn.de/category/sh-idm-member]] 
 +  * [[http://aai.dfn.de/category/vhb-member|http://aai.dfn.de/category/vhb-member]]
  
-^ Wert ^ Beschreibung ^ +Details hierzu finden sich auf einer [[:de:aai:entity_categories|separaten Übersichtsseite]].
-| http://aai.dfn.de/category/bwidm-member | Verfügbar für Einrichtungen, die am [[https://www.bwidm.de|bwIdM-Verbund]] (Baden-Württemberg) teilnehmen. Informationen zu Teilnahme, technischen Voraussetzungen und Rahmenbedingungen unter https://www.bwidm.de | +
-| http://clarin.eu/category/clarin-member | Wird automatisch für alle Service Provider gesetzt, die von [[https://www.clarin.eu|CLARIN-EU]] betrieben werden. | +
-| http://aai.dfn.de/category/ndsidm-member | Verfügbar für Einrichtungen, die am Nds-AAI Projekt (Niedersachsen) teilnehmen. | +
-| http://aai.dfn.de/category/vetmed-member Verfügbar für Einrichtungen, die am [[https://www.tiho-hannover.de/studium-lehre/keldat-kompetenzzentrum/|KELDAT-Projekt]] (Tiermedizin) teilnehmen+
-| http://aai.dfn.de/category/vhb-member | Verfügbar für Trägerhochschulen der Virtuellen Hochschule Bayern. Informationen zu Teilnahme, technischen Voraussetzungen und Rahmenbedingungen unter https://www.vhb.org/+
-| http://aai.dfn.de/category/rarp-member | Verfügbar für Mitglieder der Rechenzentrumsallianz Rheinland-Pfalz | +
-| http://aai.dfn.de/category/highmeducation-member | Verfügbar für Mitglieder des [[https://www.medizininformatik-initiative.de/de/konsortien/highmed|HiGHmed Konsortiums]] | +
-| http://aai.dfn.de/category/public-idp | Hiermit werden IdPs gekennzeichnet, die bekanntermaßen allen offenstehen, d.h. auch Nutzer*innen außerhalb von Wissenschaft und Forschung. Eine Identitätsprüfung findet i.d.R. nicht statt. Die Vergabe dieser Entity Category wird über eine manuell gepflegte Blacklist gesteuert. Hinweise auf IdPs, die dieser Kategorie zuzuordnen sind, richten Sie bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. |+
  
 ==== Beispiele (Metadaten) ==== ==== Beispiele (Metadaten) ====
Zeile 156: Zeile 205:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
-Hier sehen Sie den Metadatenauszug eines IdP, der am bwIdM-Verbund teilnimmt und sich der Verlässlichkeitsklasse Advanced zuordnet:+Hier sehen Sie den Metadatenauszug eines IdP, der am bwIdM-Verbund teilnimmt:
  
-<file xml dfn-aai-metadata.xml>+<file xml dfn-aai-idp-metadata.xml>
   <EntityDescriptor entityID="https://mylogin.uni-freiburg.de/shibboleth">   <EntityDescriptor entityID="https://mylogin.uni-freiburg.de/shibboleth">
     <Extensions>     <Extensions>
Zeile 170: Zeile 220:
         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">         <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
           <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>           <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
-        </saml:Attribute> 
-        <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> 
-          <saml:AttributeValue>advanced</saml:AttributeValue> 
         </saml:Attribute>         </saml:Attribute>
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </Extensions>     </Extensions>
 +
 </file> </file>
  
Zeile 193: Zeile 241:
       </mdattr:EntityAttributes>       </mdattr:EntityAttributes>
     </md:Extensions>     </md:Extensions>
 +
 </file> </file>
  
-===== Beispiele (Filter) =====+==== Beispiele (Filter) ====
  
-SP-seitige Whitelist, bei der die Metadaten, mit denen der SP arbeitet, auf IdPs aus dem bwIDM-Projekt beschränkt werden:+**SP-seitiger Include-Filter, bei der die Metadaten, mit denen der SP arbeitet, auf IdPs aus dem bwIDM-Projekt beschränkt werden:**
  
 <file xml shibboleth2.xml> <file xml shibboleth2.xml>
 <MetadataProvider type="XML" <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-metadata.xml"+     uri="http://www.aai.dfn.de/metadata/dfn-aai-metadata.xml"
      backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">      backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">
-   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> +   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> 
-   <MetadataFilter type="Whitelist" matcher="EntityAttributes">+   <MetadataFilter type="Include" matcher="EntityAttributes">
          <saml:Attribute Name="http://macedir.org/entity-category"          <saml:Attribute Name="http://macedir.org/entity-category"
                    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">                    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
Zeile 210: Zeile 259:
         </saml:Attribute>         </saml:Attribute>
    </MetadataFilter>    </MetadataFilter>
-   <MetadataFilter type="EntityRoleWhiteList">+   <MetadataFilter type="EntityRole">
       <RetainedRole>md:IDPSSODescriptor</RetainedRole>       <RetainedRole>md:IDPSSODescriptor</RetainedRole>
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
 +
 </file> </file>
  
-SP-seitige Blacklist, bei der aus den Metadaten, mit denen der SP arbeitet, sog. Public IdPs / Self-Signup IdPs entfernt werden:+\\ 
 + 
 +**SP-seitiger Exclude-Filter, bei der aus den Metadaten, mit denen der SP arbeitet, sog. Public IdPs / Self-Signup IdPs entfernt werden:**
  
 <file xml shibboleth2.xml> <file xml shibboleth2.xml>
 <MetadataProvider type="XML" <MetadataProvider type="XML"
-     uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml"+     uri="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml"
      backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">      backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">
-   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> +   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> 
-   <MetadataFilter type="Blacklist" matcher="EntityAttributes">+   <MetadataFilter type="Exclude" matcher="EntityAttributes">
          <saml:Attribute Name="http://macedir.org/entity-category"          <saml:Attribute Name="http://macedir.org/entity-category"
                    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">                    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
Zeile 229: Zeile 281:
         </saml:Attribute>         </saml:Attribute>
    </MetadataFilter>    </MetadataFilter>
-   <MetadataFilter type="EntityRoleWhiteList">+   <MetadataFilter type="EntityRole">
       <RetainedRole>md:IDPSSODescriptor</RetainedRole>       <RetainedRole>md:IDPSSODescriptor</RetainedRole>
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
-</file> 
  
-SP-seitige Whitelist, bei der die Metadaten, mit denen der SP arbeitet, auf IdPs der [[:de:degrees_of_reliance|Verlässlichkeitsklasse]] "Advanced" beschränkt werden: 
- 
-<file xml shibboleth2.xml> 
-<MetadataProvider type="XML" 
-     uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml" 
-     backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> 
-   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> 
-   <MetadataFilter type="Whitelist" matcher="EntityAttributes"> 
-         <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" 
-                   NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> 
-            <saml:AttributeValue>advanced</saml:AttributeValue> 
-        </saml:Attribute> 
-   </MetadataFilter> 
-</MetadataProvider> 
 </file> </file>
  
-IdP: Attributfreigabe an bwIDM-SPs:+\\ 
 + 
 +**IdP: Attributfreigabe an bwIDM-SPs:**
  
 <file xml attribute-filter.xml> <file xml attribute-filter.xml>
Zeile 261: Zeile 300:
    <AttributeRule attributeID="mail" permitAny="true"/>    <AttributeRule attributeID="mail" permitAny="true"/>
    <AttributeRule attributeID="givenName" permitAny="true"/>    <AttributeRule attributeID="givenName" permitAny="true"/>
-   <AttributeRule attributeID="surname" permitAny="true"/>+   <AttributeRule attributeID="sn" permitAny="true"/>
    <AttributeRule attributeID="o" permitAny="true"/>    <AttributeRule attributeID="o" permitAny="true"/>
    <AttributeRule attributeID="uid" permitAny="true"/>    <AttributeRule attributeID="uid" permitAny="true"/>
Zeile 270: Zeile 309:
    </AttributeRule>    </AttributeRule>
 </AttributeFilterPolicy> </AttributeFilterPolicy>
 +
 </file> </file>
  
-Weitere Beispiele unter [[https://wiki.aai.dfn.de/de:shibidp3attrfilter|Attribut-Konfiguration]].+\\
  
-===== Referenzen (Shibboleth Wiki) =====+**IdP: Attributfreigabe an SPs des Meta-Videoportal unterrichtsvideos.net:** \\ 
 +(siehe hierzu auch unter https://unterrichtsvideos.net/metaportal/faq#IDP_Infos) 
 +<file xml attribute-filter.xml> 
 +<AttributeFilterPolicy id="metavideoportal_member"> 
 +   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" 
 +     attributeName="http://macedir.org/entity-category" 
 +     attributeValue="http://aai.dfn.de/category/metavideoportal-member" /> 
 +   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/> 
 +   <AttributeRule attributeID="samlSubjectID" permitAny="true"/> 
 +   <AttributeRule attributeID="displayName" permitAny="true"/> 
 +   <AttributeRule attributeID="givenName" permitAny="true"/> 
 +   <AttributeRule attributeID="sn" permitAny="true"/> 
 +   <AttributeRule attributeID="mail" permitAny="true"/> 
 +</AttributeFilterPolicy> 
 +</file> 
 + 
 +\\ 
 + 
 +**IdP: Freigabe der subject-id an SPs für FID-Lizenzen:** \\ 
 +Es ist nur die Freigabe einer subject-id ODER einer eduPersonUniqueId notwendig 
 +(siehe hierzu auch unter https://www.fid-lizenzen.de/zusammenarbeit-fid-kfl) 
 +<file xml attribute-filter.xml> 
 +<AttributeFilterPolicy id="fid-licences"> 
 +   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" 
 +     attributeName="http://macedir.org/entity-category" 
 +     attributeValue="http://aai.dfn.de/category/fid-licences-member" />      
 +   <AttributeRule attributeID="samlSubjectID" permitAny="true"/> 
 +</AttributeFilterPolicy> 
 +</file> 
 + 
 +\\ 
 + 
 +**IdP: Freigabe der eduPersonUnique-id an SPs für FID-Lizenzen:** \\ 
 +Es ist nur die Freigabe einer eduPersonUniqueId ODER einer subject-id notwendig 
 +(siehe hierzu auch unter https://www.fid-lizenzen.de/zusammenarbeit-fid-kfl) 
 +<file xml attribute-filter.xml> 
 +<AttributeFilterPolicy id="fid-licences"> 
 +   <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" 
 +     attributeName="http://macedir.org/entity-category" 
 +     attributeValue="http://aai.dfn.de/category/fid-licences-member" />      
 +   <AttributeRule attributeID="eduPersonUniqueId" permitAny="true"/> 
 +</AttributeFilterPolicy> 
 +</file> 
 + 
 + 
 +Weitere Beispiele unter [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|Attribut-Konfiguration]]. 
 + 
 +===== Referenzen ===== 
 + 
 +Weiterführende Informationen finden Sie im Shibboleth Wiki unter folgenden Links:
  
   * **IdP - Attributfreigabe**   * **IdP - Attributfreigabe**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]] +      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeExactMatchConfiguration|EntityAttributeExactMatch Configuration]] 
-      * [[https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]+      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributeRegexMatchConfiguration|EntityAttributeRegexMatch Configuration]]
   * **IdP - Relying Party Konfiguration**   * **IdP - Relying Party Konfiguration**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP30/RelyingPartyConfiguration#RelyingPartyConfiguration-Overrides|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]+      * [[https://wiki.shibboleth.net/confluence/display/IDP4/RelyingPartyConfiguration#RelyingPartyConfiguration-Overrides|RelyingParty Configuration - Overrides, (RelyingPartyByTag)]]
   * **IdP - internes Tagging mit Entity Attributen**   * **IdP - internes Tagging mit Entity Attributen**
-      * [[https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributesFilter|Metadata - EntityAttributesFilter]]+      * [[https://wiki.shibboleth.net/confluence/display/IDP4/EntityAttributesFilter|Metadata - EntityAttributesFilter]]
   * **SP - Metadata Filter (matcher="EntityAttributes")**   * **SP - Metadata Filter (matcher="EntityAttributes")**
-      * [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-WhitelistMetadataFilter|Whitelist MetadataFilter]] +      * [[https://wiki.shibboleth.net/confluence/display/SP3/IncludeMetadataFilter|Include MetadataFilter]] 
-      * [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-BlacklistMetadataFilter|Blacklist MetadataFilter]]+      * [[https://wiki.shibboleth.net/confluence/display/SP3/ExcludeMetadataFilter|Exclude MetadataFilter]]
   * **SP - internes Tagging mit Entity Attributen**   * **SP - internes Tagging mit Entity Attributen**
-      * [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataFilter#NativeSPMetadataFilter-EntityAttributesMetadataFilter(Version2.5andAbove)|Entity Attributes Metadata Filter]] +      * [[https://wiki.shibboleth.net/confluence/display/SP3/EntityAttributesMetadataFilter|Entity Attributes Metadata Filter]]
  
 +{{tag>entity-category entity-attribute subjectIdentifierAttributes}}
  • Zuletzt geändert: vor 4 Jahren