Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3attrfilter [2016/03/24 15:17] – Wolfgang Pempe
+++ de:shibidp3attrfilter [2020/05/13 15:56] – Silke Meyer
@@ Zeile 1: / Zeile 1: @@
-====== Attribute Filter Konfiguration - Beispiele ======
+====== Attribut-Konfiguration für e-Research SPs ======
-Siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterConfiguration|Dokumentation im Shibboleth Wiki]]
-Beispiele für Shibboleth IdP 2.4.x finden sich in der [[https://www.aai.dfn.de/dokumentation/identity-provider/konfiguration/beispiele-fuer-attribut-generierung-und-freigabe/|alten Online-Dokumentation]].
-===== Standard-Konfiguration für (die meisten) Verlagsanbieter =====
+===== ELIXIR =====
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
+ELIXIR ist eine Forschungsinfrastruktur für Daten aus dem Bereich Life Science (v.a. Genom-Datenbanken). Weiterführende Informationen finden sich auf der Homepage des Projekts unter http://www.elixir-europe.org/ und in dem {{wiki:letter_to_encourage_idps_to_release_attributes_to_elixir.pdf|hier verlinkten Anschreiben}}.
-<!-- Anonyme Angaben können an alle SP freigegeben werden,
+Der Zugang zu den ELIXIR Diensten erfolgt über einen SP Proxy (Entity ID: https://login.elixir-czech.org/proxy/), der über [[https://www.aai.dfn.de/teilnahme/interfederation/|eduGAIN]] verfügbar ist.
-     damit sind fast alle Verlagsanbieter-SPs in der Föderation
-     schon zufrieden -->
-<AttributeFilterPolicy id="releaseToAnyone">
-   <PolicyRequirementRule xsi:type="ANY" />
-   <!-- eduPersonEntitlement nur den relevanten Wert für die Verlage -->
-   <AttributeRule attributeID="eduPersonEntitlement">
-      <PermitValueRule xsi:type="Value" value="urn:mace:dir:entitlement:common-lib-terms"/>
-   </AttributeRule>
-   <!-- eduPersonScopedAffiliation nur die anonymen Werte
-        "member" und "library-walk-in"-->
-   <AttributeRule attributeID="eduPersonScopedAffiliation">
-      <PermitValueRule xsi:type="OR">
-         <Rule xsi:type="Value" value="member" ignoreCase="true" />
-         <Rule xsi:type="Value" value="library-walk-in" ignoreCase="true" />
-      </PermitValueRule>
-   </AttributeRule>
-</AttributeFilterPolicy>
-</file>
+Benötigte Attribute (+ NameID):
+  * Persistent NameID / eduPersonPrincipalName / eduPersonTargetedID
+  * eduPersonAffiliation / eduPersonScopedAffiliation (von besonderer Relevanz ist der Wert "faculty")
+  * schacHomeOrganization
-===== Attributfreigabe für Code-of-Conduct SPs =====
+Dieser Service Provider (und die dahinter liegenden Dienste) verpflichtet sich dem //GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA// (siehe oben). Falls hierfür bereits eine Filter Policy nach dem angeführten Beispiel implementiert ist, sollte der Zugriff auf die ELIXIR Dienste ohne zusätzliche Maßnahmen funktionieren.
-   * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA"
-   * [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|Kurze deutschsprachige Einführung]]
-   * Dokumentation im [[https://wiki.edugain.org/Data_Protection_Code_of_Conduct_Cookbook|eduGAIN Wiki]]
-   * [[https://wiki.edugain.org/index.php?action=remote&title=-&mod=SecureFileStore&rf=getFile&f=/5/50/Endorsement.pdf|Code of Conduct Endorsement Letter]]
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]
-**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:**
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-    <AttributeFilterPolicy id="releaseToCoCo">
-       <PolicyRequirementRule
+Ob alle benötigten Angaben übertragen werden, lässt sich anhand dieses //Attribute Checks// überprüfen:
-               xsi:type="EntityAttributeExactMatch"
-               attributeName="http://macedir.org/entity-category"
-               attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" />
-       <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default-->
+https://perun.elixir-czech.cz/attribute-check/
-       <AttributeRule attributeID="displayName">
+Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]):
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonScopedAffiliation">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonAffiliation">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="mail">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="cn">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="givenName">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="sn">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonPrincipalName">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="schacHomeOrganization">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="schacHomeOrganizationType">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonTargetedID">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="o">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-</AttributeFilterPolicy>
-</file>
-===== Freigabe der wichtigsten Attribute für CLARIN-SPs =====
-   * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources
-   * Test-SP unter https://lindat.mff.cuni.cz/secure/
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-    <AttributeFilterPolicy id="releaseEverythingToClarin">
+<AttributeFilterPolicy id="elixir">
-        <PolicyRequirementRule xsi:type="AND">
+   <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />
-           <Rule xsi:type="EntityAttributeExactMatch"
+   <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
-                 attributeName="http://macedir.org/entity-category"
+   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
-                 attributeValue="http://clarin.eu/category/clarin-member" />
+   <!-- nur wenn keine Persistent NameID üertragen wird -->
-           <!--
+   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
-               wer sichergehen will, dass nur SPs bedient werden, die europäischen
-               Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu
-               (https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/)
-           -->
-           <Rule xsi:type="EntityAttributeExactMatch"
-                 attributeName="http://macedir.org/entity-category"
-                 attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" />
-        </PolicyRequirementRule>
-        <AttributeRule attributeID="eduPersonAffiliation">
-           <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default-->
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID-->
-        <AttributeRule attributeID="eduPersonPrincipalName">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="eduPersonTargetedID">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="sn">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- einige SPs verlangen 'cn', andere 'displayName' -->
-        <AttributeRule attributeID="cn">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="displayName">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="mail">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' -->
-        <AttributeRule attributeID="o">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="schacHomeOrganization">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="schacHomeOrganizationType">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
 </AttributeFilterPolicy>
 </file>
-===== REFEDS Research and Scholarship Entity Category =====
+{{tag>idp3}}
-   * Dokumentation unter https://refeds.org/category/research-and-scholarship
-   * Zur Motivation siehe unter https://refeds.org/a/1154
-   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-<AttributeFilterPolicy id="releaseToRandS">
-   <PolicyRequirementRule
-           xsi:type="EntityAttributeExactMatch"
-           attributeName="http://macedir.org/entity-category"
-           attributeValue="http://refeds.org/category/research-and-scholarship" />
-   <AttributeRule attributeID="eduPersonScopedAffiliation">
-       <PermitValueRule xsi:type="AttributeInMetadata"/>
-   </AttributeRule>
-   <!-- falls eduPersonPrincipalName neu vergeben werden kann,
-        muss  eduPersonTargetedID mit uebertragen werden -->
-   <AttributeRule attributeID="eduPersonPrincipalName">
-      <PermitValueRule xsi:type="AttributeInMetadata"/>
-   </AttributeRule>
-   <AttributeRule attributeID="eduPersonTargetedID">
-      <PermitValueRule xsi:type="AttributeInMetadata"/>
-   </AttributeRule>
-   <!-- entweder sn + givenName oder displayName -->
-   <AttributeRule attributeID="givenName">
-      <PermitValueRule xsi:type="AttributeInMetadata"/>
-   </AttributeRule>
-   <AttributeRule attributeID="sn">
-      <PermitValueRule xsi:type="AttributeInMetadata"/>
-   </AttributeRule>
-   <AttributeRule attributeID="displayName">
-      <PermitValueRule xsi:type="AttributeInMetadata"/>
-   </AttributeRule>
-   <AttributeRule attributeID="mail">
-      <PermitValueRule xsi:type="AttributeInMetadata"/>
-   </AttributeRule>
-</AttributeFilterPolicy>
-</file>