Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3attrfilter [2016/11/17 09:47] Wolfgang Pempede:shibidp3attrfilter [2020/04/16 14:45] – [Freigabe der wichtigsten Attribute für CLARIN-SPs] Silke Meyer
Zeile 1: Zeile 1:
-====== Attribute Filter Konfiguration - Beispiele ====== +====== Attribut-Konfiguration für e-Research SPs ======
- +
-Siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterConfiguration|Dokumentation im Shibboleth Wiki]] +
- +
-Beispiele für Shibboleth IdP 2.4.x finden sich in der [[https://www.aai.dfn.de/dokumentation/identity-provider/konfiguration/beispiele-fuer-attribut-generierung-und-freigabe/|alten Online-Dokumentation]]. +
- +
-===== Standard-Konfiguration für (die meisten) Verlagsanbieter ===== +
- +
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> +
- +
-<!-- Anonyme Angaben können an alle SP freigegeben werden, +
-     damit sind fast alle Verlagsanbieter-SPs in der Föderation  +
-     schon zufrieden --> +
-  +
-<AttributeFilterPolicy id="releaseToAnyone"> +
-   <PolicyRequirementRule xsi:type="ANY" /> +
-  +
-   <!-- eduPersonEntitlement nur den relevanten Wert für die Verlage --> +
-   <AttributeRule attributeID="eduPersonEntitlement"> +
-      <PermitValueRule xsi:type="Value" value="urn:mace:dir:entitlement:common-lib-terms"/> +
-   </AttributeRule> +
-  +
-   <!-- eduPersonScopedAffiliation nur die anonymen Werte +
-        "member" und "library-walk-in"--> +
-   <AttributeRule attributeID="eduPersonScopedAffiliation"> +
-      <PermitValueRule xsi:type="OR"> +
-         <Rule xsi:type="Value" value="member" ignoreCase="true" />  +
-         <Rule xsi:type="Value" value="library-walk-in" ignoreCase="true" />  +
-      </PermitValueRule> +
-   </AttributeRule> +
-  +
-</AttributeFilterPolicy> +
- +
-</file>+
  
 +Dienste, die von Forschungsinfrastrukturen und -Projekten betrieben werden, stehen häufig prinzipiell einer breiten wissenschaftlichen Öffentlichkeit zur Verfügung (z.B. TextGrid, WebLicht u.a.m.), in anderen Fällen sind spezielle, mitunter temporäre Berechtigungen erforderlich, die häufig über Entitlements abgebildet und von der jeweiligen wissenschaftlichen Community gepflegt werden. Diese Attribute werden üblicherweise nicht von den IdPs der jeweiligen Heimatorganisation vorgehalten, sondern in Attribute Authorities hinterlegt, die vom jeweiligen Projekt gepflegt werden. Nicht nur der guten wissenschaftlichen Praxis wegen, sondern auch um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und den in einer dienst-/projekt-spezifischen Attribute Authority hinterlegten Attributen herzustellen, ist neben Angaben zu Personennamen, Einrichtung und eMail ein global gültiger, eindeutiger Identifier erforderlich, z.B. eduPersonPrincipalName oder [[de:shibidp:config-attributes-edupersonuniqueid|eduPersonUniqueId]].
  
 ===== Attributfreigabe für Code-of-Conduct SPs ===== ===== Attributfreigabe für Code-of-Conduct SPs =====
    * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA"    * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA"
-   * [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|Kurze deutschsprachige Einführung]] +   * [[de:geant_coco|Kurze deutschsprachige Einführung]] 
-   * Dokumentation im [[https://wiki.edugain.org/Data_Protection_Code_of_Conduct_Cookbook|eduGAIN Wiki]] +   * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] 
-   * [[https://wiki.edugain.org/index.php?action=remote&title=-&mod=SecureFileStore&rf=getFile&f=/5/50/Endorsement.pdf|Code of Conduct Endorsement Letter]] +   * [[https://wiki.geant.org/display/eduGAIN/Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]] 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen +   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. 
-   Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]+   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] 
 **Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** **Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:**
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
Zeile 102: Zeile 71:
  
 </AttributeFilterPolicy> </AttributeFilterPolicy>
- 
 </file> </file>
  
Zeile 108: Zeile 76:
    * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources    * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources
    * Test-SP unter https://lindat.mff.cuni.cz/secure/    * Test-SP unter https://lindat.mff.cuni.cz/secure/
-   Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]+   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
     <AttributeFilterPolicy id="releaseEverythingToClarin">     <AttributeFilterPolicy id="releaseEverythingToClarin">
Zeile 118: Zeile 86:
                wer sichergehen will, dass nur SPs bedient werden, die europäischen                 wer sichergehen will, dass nur SPs bedient werden, die europäischen 
                Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu                Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu
-               (https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/)+               (https://doku.tid.dfn.de/de:geant_coco)
            -->            -->
            <Rule xsi:type="EntityAttributeExactMatch"            <Rule xsi:type="EntityAttributeExactMatch"
Zeile 126: Zeile 94:
  
         <AttributeRule attributeID="eduPersonAffiliation">         <AttributeRule attributeID="eduPersonAffiliation">
-           <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default--> 
            <PermitValueRule xsi:type="AttributeInMetadata"/>            <PermitValueRule xsi:type="AttributeInMetadata"/>
         </AttributeRule>         </AttributeRule>
Zeile 172: Zeile 139:
  
 </AttributeFilterPolicy> </AttributeFilterPolicy>
- 
 </file> </file>
  
Zeile 178: Zeile 144:
    * Dokumentation unter https://refeds.org/category/research-and-scholarship    * Dokumentation unter https://refeds.org/category/research-and-scholarship
    * Zur Motivation siehe unter https://refeds.org/a/1154     * Zur Motivation siehe unter https://refeds.org/a/1154 
-   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release +   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen +   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. 
-   Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]+   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
Zeile 190: Zeile 156:
            attributeValue="http://refeds.org/category/research-and-scholarship" />            attributeValue="http://refeds.org/category/research-and-scholarship" />
  
-   <AttributeRule attributeID="eduPersonScopedAffiliation"+   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> 
-       <PermitValueRule xsi:type="AttributeInMetadata"/> +   <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden--> 
-   </AttributeRule> +   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> 
- +   <AttributeRule attributeID="eduPersonTargetedID"    permitAny="true" />
-   <!-- falls eduPersonPrincipalName neu vergeben werden kann, +
-        muss  eduPersonTargetedID mit uebertragen werden --> +
-   <AttributeRule attributeID="eduPersonPrincipalName"+
-      <PermitValueRule xsi:type="AttributeInMetadata"/> +
-   </AttributeRule> +
- +
-   <AttributeRule attributeID="eduPersonTargetedID"+
-      <PermitValueRule xsi:type="AttributeInMetadata"/> +
-   </AttributeRule> +
    <!-- entweder sn + givenName oder displayName -->    <!-- entweder sn + givenName oder displayName -->
-   <AttributeRule attributeID="givenName"+   <AttributeRule attributeID="givenName"              permitAny="true" /> 
-      <PermitValueRule xsi:type="AttributeInMetadata"/> +   <AttributeRule attributeID="sn"                     permitAny="true" /> 
-   </AttributeRule> +   <AttributeRule attributeID="displayName"            permitAny="true" /> 
- +   <AttributeRule attributeID="mail"                   permitAny="true" />
-   <AttributeRule attributeID="sn"+
-      <PermitValueRule xsi:type="AttributeInMetadata"/> +
-   </AttributeRule> +
- +
-   <AttributeRule attributeID="displayName"+
-      <PermitValueRule xsi:type="AttributeInMetadata"/> +
-   </AttributeRule> +
- +
-   <AttributeRule attributeID="mail"+
-      <PermitValueRule xsi:type="AttributeInMetadata"/+
-   </AttributeRule>+
  
 </AttributeFilterPolicy> </AttributeFilterPolicy>
- 
 </file> </file>
- 
 ===== ELIXIR ===== ===== ELIXIR =====
  
Zeile 243: Zeile 186:
 https://perun.elixir-czech.cz/attribute-check/ https://perun.elixir-czech.cz/attribute-check/
  
 +Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]):
  
 +<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
 +<AttributeFilterPolicy id="elixir">
 +   <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />
 +   <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
 +   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
 +   <!-- nur wenn keine Persistent NameID üertragen wird -->
 +   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
 +</AttributeFilterPolicy>
 +</file>
  
 +{{tag>idp3}}