| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste ÜberarbeitungBeide Seiten der Revision |
| de:requirements [2021/02/24 09:43] – Wolfgang Pempe | de:requirements [2021/03/01 11:04] – [Service Provider] Silke Meyer |
|---|
| * Die für die Nutzung des Dienstes erforderlichen Attribute müssen in den Föderationsmetadaten deklariert werden | * Die für die Nutzung des Dienstes erforderlichen Attribute müssen in den Föderationsmetadaten deklariert werden |
| * Ein Service Provider muss in der Lage sein, Attribut-basierte Autorisierung zu implementieren, sofern nicht alle über einen IdP verfügbare Identitäten auf die betreffenden Ressourcen zugreifen dürfen. Hierbei gilt es zu beachten, dass sich üblicherweise nicht nur Angehörige einer Einrichtung über einen IdP authentisieren können, sondern jede im IdM der Einrichtung geführte Identität. Dies können z.B. auch Gäste, Alumni oder Stadtnutzer einer Bibliothek sein. | * Ein Service Provider muss in der Lage sein, Attribut-basierte Autorisierung zu implementieren, sofern nicht alle über einen IdP verfügbare Identitäten auf die betreffenden Ressourcen zugreifen dürfen. Hierbei gilt es zu beachten, dass sich üblicherweise nicht nur Angehörige einer Einrichtung über einen IdP authentisieren können, sondern jede im IdM der Einrichtung geführte Identität. Dies können z.B. auch Gäste, Alumni oder Stadtnutzer einer Bibliothek sein. |
| * Da Shibboleth IdPs Assertions per Default verschlüsseln, wird **dringend empfohlen**, SP-Implementierungen einzusetzen, die in der Lage sind, verschlüsselte Assertions zu entschlüsseln. | * Da Shibboleth IdPs Assertions per Default verschlüsseln, wird **dringend empfohlen**, SP-Implementierungen einzusetzen, die in der Lage sind, verschlüsselte Assertions zu entschlüsseln. Der SP sollte zudem in der Lage sein, mit zwei Zertifikaten/Schlüsseln umzugehen, da während des Zertifikatstausches vorübergehend verschlüsselte Assertions eingehen, die entweder noch mit dem alten/ablaufenden, oder bereits mit dem neuen Zertifikat verschlüsselt wurden. |
| * Die XML-Signatur der seitens eines IdP übermittelten Daten muss anhand des entsprechenden, für den betreffenden IdP in den Föderationsmetadaten hinterlegten Zertifikats validiert werden. Dies betrifft sowohl die signierte SAML Response als auch die SAML Assertion (Teil der Response, fallweise signiert). | * Die XML-Signatur der seitens eines IdP übermittelten Daten muss anhand des entsprechenden, für den betreffenden IdP in den Föderationsmetadaten hinterlegten Zertifikats validiert werden. Dies betrifft sowohl die signierte SAML Response als auch die SAML Assertion (Teil der Response, fallweise signiert). |
| * Provisionierung und Deprovisionierung | * Provisionierung und Deprovisionierung |