Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:requirements [2021/03/01 15:27] – [Allgemeine Voraussetzungen] Silke Meyer | de:requirements [2022/05/24 17:11] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
==== Allgemeine Voraussetzungen ==== | ==== Allgemeine Voraussetzungen ==== | ||
<callout color="# | <callout color="# | ||
- | Die folgenden formalen, technische und organisatorischen Voraussetzungen gelten für Identity Provider (IdP) und Service Provider (SP). | + | Die folgenden formalen, technische und organisatorischen Voraussetzungen gelten |
</ | </ | ||
===Formale Kriterien=== | ===Formale Kriterien=== | ||
* Zur Teilnahme an der DFN-AAI ist eine vertragliche Vereinbarung mit dem DFN-Verein erforderlich. Zur Anforderung der Vertragsunterlagen siehe unter [[de: | * Zur Teilnahme an der DFN-AAI ist eine vertragliche Vereinbarung mit dem DFN-Verein erforderlich. Zur Anforderung der Vertragsunterlagen siehe unter [[de: | ||
- | * Heimateinrichtungen / IdP-Betreiber: | + | * Heimateinrichtungen / IdP-Betreiber: |
* Dienstanbieter / SP-Betreiber: | * Dienstanbieter / SP-Betreiber: | ||
* Die aktuell gültigen [[de: | * Die aktuell gültigen [[de: | ||
Zeile 16: | Zeile 16: | ||
* Unterstützung des [[https:// | * Unterstützung des [[https:// | ||
* Die [[de: | * Die [[de: | ||
- | * müssen **mindestens** einmal täglich heruntergeladen werden | + | * müssen **mindestens** einmal täglich heruntergeladen werden. |
- | * die Signatur der Metadaten muss anhand des jeweils gültigen, von der DFN-AAI bereitgestellten Zertifikats validiert werden | + | * Die Signatur der Metadaten muss anhand des jeweils gültigen, von der DFN-AAI bereitgestellten Zertifikats validiert werden. |
* Betriebssicherheit | * Betriebssicherheit | ||
- | * Die eingesetzte Software muss aktuell gehalten und Security Updates/ | + | * Die eingesetzte Software muss aktuell gehalten und Security Updates/ |
- | * Bei der [[de: | + | * Bei der [[de: |
* Zertifikate für die SAML-basierte Kommunikation | * Zertifikate für die SAML-basierte Kommunikation | ||
* Die eingesetzte SAML-Software muss beim Wechsel des Schlüsselmaterials einen unterbrechungsfreien Key Rollover ermöglichen. Informationen und weiterführende Hinweise finden sich unter [[de: | * Die eingesetzte SAML-Software muss beim Wechsel des Schlüsselmaterials einen unterbrechungsfreien Key Rollover ermöglichen. Informationen und weiterführende Hinweise finden sich unter [[de: | ||
+ | * https für Binding URLs | ||
+ | * Sämtliche in den Föderationsmetadaten hinterlegten Endpunkte müssen über TLS abgesichert sein | ||
* Sonstiges | * Sonstiges | ||
* Orientieren Sie sich bitte an den weiteren, unter [[de: | * Orientieren Sie sich bitte an den weiteren, unter [[de: | ||
Zeile 37: | Zeile 39: | ||
* Sie sind nach //einem// Login am IdP mit ihrem Browser für einen bestimmten Zeitraum an //allen// angebundenen Diensten angemeldet. | * Sie sind nach //einem// Login am IdP mit ihrem Browser für einen bestimmten Zeitraum an //allen// angebundenen Diensten angemeldet. | ||
* Die zentrale Loginseite kann von IdP-Betreiber*innen nach aktuellen Standards abgesichert werden. | * Die zentrale Loginseite kann von IdP-Betreiber*innen nach aktuellen Standards abgesichert werden. | ||
- | * Passwörter werden nie an Service Provider übermittelt. | + | * Passwörter werden nie an Service Provider übermittelt, sie bleiben in der Heimateinrichtung. |
* Die Autorisierung erfolgt aufgrund von standardisierten, | * Die Autorisierung erfolgt aufgrund von standardisierten, | ||
* Nutzer*innen werden vor jeder neuen Freigabe von Attributen an einen Dienst explizit um Zustimmung gebeten. Der Identity Provider kann diese Information speichern. | * Nutzer*innen werden vor jeder neuen Freigabe von Attributen an einen Dienst explizit um Zustimmung gebeten. Der Identity Provider kann diese Information speichern. | ||
</ | </ | ||
- | * Ein Service Provider muss eine Möglichkeit zur **[[de: | + | * Ein Service Provider, der mit mehr als einer Heimateinrichtung zusammenarbeitet, |
* Ein Service Provider muss in der Lage sein, **[[de: | * Ein Service Provider muss in der Lage sein, **[[de: | ||
* Die für die Nutzung des Dienstes erforderlichen Attribute müssen **in den Föderationsmetadaten deklariert** werden | * Die für die Nutzung des Dienstes erforderlichen Attribute müssen **in den Föderationsmetadaten deklariert** werden | ||
Zeile 50: | Zeile 52: | ||
* Provisionierung und Deprovisionierung | * Provisionierung und Deprovisionierung | ||
* SP-seitige, d.h. dienstlokale **Nutzerkonten und -Profile** müssen anhand von Attributen erstellt werden, die von den Identity Providern der teilnehmenden Einrichtungen übertragen werden. Provisionierung von Nutzerdaten über andere Kanäle (z.B. CSV-Dateien, | * SP-seitige, d.h. dienstlokale **Nutzerkonten und -Profile** müssen anhand von Attributen erstellt werden, die von den Identity Providern der teilnehmenden Einrichtungen übertragen werden. Provisionierung von Nutzerdaten über andere Kanäle (z.B. CSV-Dateien, | ||
- | * Für die **Deprovisionierung/ | + | * Für die **Deprovisionierung/ |
**Warum sprechen die IdP-Betreiber*innen von [[de: | **Warum sprechen die IdP-Betreiber*innen von [[de: | ||
* Sie haben eine Ressource, die nur von //einer// Hochschule oder Forschungseinrichtung genutzt werden soll, mit einer SP-Software geschützt. Dieser SP wird nicht in die große Föderation aufgenommen, | * Sie haben eine Ressource, die nur von //einer// Hochschule oder Forschungseinrichtung genutzt werden soll, mit einer SP-Software geschützt. Dieser SP wird nicht in die große Föderation aufgenommen, | ||
* Es ist zwar technisch möglich, dem IdP die SP-Metadaten als einzelne xml-Datei zu geben und umgekehrt. | * Es ist zwar technisch möglich, dem IdP die SP-Metadaten als einzelne xml-Datei zu geben und umgekehrt. | ||
- | * Es ist jedoch für beide Seiten komfortabler, | + | * Es ist jedoch für beide Seiten komfortabler, |
* Der lokale Metadatensatz lässt sich über die Metadatenverwaltung der DFN-AAI pflegen ([[de: | * Der lokale Metadatensatz lässt sich über die Metadatenverwaltung der DFN-AAI pflegen ([[de: | ||
* Der lokale Metadatensatz wird dann auf dem IdP und den SPs regelmäßig eingelesen. | * Der lokale Metadatensatz wird dann auf dem IdP und den SPs regelmäßig eingelesen. | ||
* Wer Zugriff auf die Metadatenverwaltung hat, kann dort die Metadaten aktualisieren. Steht beim Identity Provider ein Zertifikatswechsel an, dann reicht es, das neue Zertifikat in der Metadatenverwaltung beim IdP einzustellen, | * Wer Zugriff auf die Metadatenverwaltung hat, kann dort die Metadaten aktualisieren. Steht beim Identity Provider ein Zertifikatswechsel an, dann reicht es, das neue Zertifikat in der Metadatenverwaltung beim IdP einzustellen, | ||
- | * Die Zertifikate in lokalen Metadatensätzen werden von uns auf das Ablaufdatum hin überwacht. Die technischen Ansprechpersonen und Metadatenadmins bekommen rechtzeitig eine Erinnerung an das Zertifikatsrollover. Diesen Service können wir natürlich nicht bieten, wenn Sie direkt mit Gegenstelle xml-Dateien austauschen. | + | * Die Zertifikate in lokalen Metadatensätzen werden von uns auf das Ablaufdatum hin überwacht. Die technischen Ansprechpersonen und Metadatenadmins bekommen rechtzeitig eine Erinnerung an das Zertifikatsrollover. Diesen Service können wir natürlich nicht bieten, wenn Sie direkt mit der Gegenstelle xml-Dateien austauschen. |
===== Best Practice ===== | ===== Best Practice ===== | ||
* Single Logout | * Single Logout |