Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:requirements [2021/03/02 08:50] – [Allgemeine Voraussetzungen] Silke Meyer | de:requirements [2022/09/26 11:18] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
==== Allgemeine Voraussetzungen ==== | ==== Allgemeine Voraussetzungen ==== | ||
<callout color="# | <callout color="# | ||
- | Die folgenden formalen, technische und organisatorischen Voraussetzungen gelten für Identity Provider (IdP) und Service Provider (SP). | + | Die folgenden formalen, technische und organisatorischen Voraussetzungen gelten |
</ | </ | ||
===Formale Kriterien=== | ===Formale Kriterien=== | ||
* Zur Teilnahme an der DFN-AAI ist eine vertragliche Vereinbarung mit dem DFN-Verein erforderlich. Zur Anforderung der Vertragsunterlagen siehe unter [[de: | * Zur Teilnahme an der DFN-AAI ist eine vertragliche Vereinbarung mit dem DFN-Verein erforderlich. Zur Anforderung der Vertragsunterlagen siehe unter [[de: | ||
- | * Heimateinrichtungen / IdP-Betreiber: | + | * Heimateinrichtungen / IdP-Betreiber: |
* Dienstanbieter / SP-Betreiber: | * Dienstanbieter / SP-Betreiber: | ||
* Die aktuell gültigen [[de: | * Die aktuell gültigen [[de: | ||
Zeile 19: | Zeile 19: | ||
* Die Signatur der Metadaten muss anhand des jeweils gültigen, von der DFN-AAI bereitgestellten Zertifikats validiert werden. | * Die Signatur der Metadaten muss anhand des jeweils gültigen, von der DFN-AAI bereitgestellten Zertifikats validiert werden. | ||
* Betriebssicherheit | * Betriebssicherheit | ||
- | * Die eingesetzte Software muss aktuell gehalten und Security Updates/ | + | * Die eingesetzte Software muss aktuell gehalten und Security Updates/ |
- | * Bei der [[de: | + | * Bei der [[de: |
* Zertifikate für die SAML-basierte Kommunikation | * Zertifikate für die SAML-basierte Kommunikation | ||
* Die eingesetzte SAML-Software muss beim Wechsel des Schlüsselmaterials einen unterbrechungsfreien Key Rollover ermöglichen. Informationen und weiterführende Hinweise finden sich unter [[de: | * Die eingesetzte SAML-Software muss beim Wechsel des Schlüsselmaterials einen unterbrechungsfreien Key Rollover ermöglichen. Informationen und weiterführende Hinweise finden sich unter [[de: | ||
+ | * https für Binding URLs | ||
+ | * Sämtliche in den Föderationsmetadaten hinterlegten Endpunkte müssen über TLS abgesichert sein | ||
* Sonstiges | * Sonstiges | ||
* Orientieren Sie sich bitte an den weiteren, unter [[de: | * Orientieren Sie sich bitte an den weiteren, unter [[de: | ||
Zeile 41: | Zeile 43: | ||
* Nutzer*innen werden vor jeder neuen Freigabe von Attributen an einen Dienst explizit um Zustimmung gebeten. Der Identity Provider kann diese Information speichern. | * Nutzer*innen werden vor jeder neuen Freigabe von Attributen an einen Dienst explizit um Zustimmung gebeten. Der Identity Provider kann diese Information speichern. | ||
</ | </ | ||
- | * Ein Service Provider muss eine Möglichkeit zur **[[de: | + | * Ein Service Provider, der mit mehr als einer Heimateinrichtung zusammenarbeitet, |
* Ein Service Provider muss in der Lage sein, **[[de: | * Ein Service Provider muss in der Lage sein, **[[de: | ||
* Die für die Nutzung des Dienstes erforderlichen Attribute müssen **in den Föderationsmetadaten deklariert** werden | * Die für die Nutzung des Dienstes erforderlichen Attribute müssen **in den Föderationsmetadaten deklariert** werden | ||
- | * Ein Service Provider muss in der Lage sein, **Föderationsmetadaten regelmäßig herunterzuladen** und aus ihnen nötige Informationen pro EntityID herauszufiltern. | + | * Ein Service Provider muss in der Lage sein, **[[de: |
* Ein Service Provider muss in der Lage sein, **Attribut-basierte Autorisierung** zu implementieren, | * Ein Service Provider muss in der Lage sein, **Attribut-basierte Autorisierung** zu implementieren, | ||
* Da Shibboleth IdPs Assertions per Default verschlüsseln, | * Da Shibboleth IdPs Assertions per Default verschlüsseln, | ||
Zeile 50: | Zeile 52: | ||
* Provisionierung und Deprovisionierung | * Provisionierung und Deprovisionierung | ||
* SP-seitige, d.h. dienstlokale **Nutzerkonten und -Profile** müssen anhand von Attributen erstellt werden, die von den Identity Providern der teilnehmenden Einrichtungen übertragen werden. Provisionierung von Nutzerdaten über andere Kanäle (z.B. CSV-Dateien, | * SP-seitige, d.h. dienstlokale **Nutzerkonten und -Profile** müssen anhand von Attributen erstellt werden, die von den Identity Providern der teilnehmenden Einrichtungen übertragen werden. Provisionierung von Nutzerdaten über andere Kanäle (z.B. CSV-Dateien, | ||
- | * Für die **Deprovisionierung/ | + | * Für die **Deprovisionierung/ |
**Warum sprechen die IdP-Betreiber*innen von [[de: | **Warum sprechen die IdP-Betreiber*innen von [[de: |