Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3attrfilter [2017/02/20 14:39] – [REFEDS Research and Scholarship Entity Category] Wolfgang Pempede:shibidp3attrfilter [2020/05/13 15:43] Silke Meyer
Zeile 1: Zeile 1:
-====== Attribute Filter Konfiguration - Beispiele ======+====== Attribut-Konfiguration für e-Research SPs ======
  
-=== Änderung in attribute-filter.xml gegenüber IdP 2.x === 
- 
-  * [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterLegacyNameSpaceMapping|Syntax vereinfacht]] (u.a. nur noch ein Namespace) 
-  * Filtern von NameIDs (transientID und persistentID) enfällt. 
- 
-Zum **grundlegenden Verständnis** des Zusammenspiels von Attributgenerierung, Weitergabe und Verarbeitung siehe die [[https://www.aai.dfn.de/uploads/media/20150624-AAIWS13-04-attribute.pdf|Präsentation vom 13. DFN-AAI-Workshop]]. 
- 
-Siehe auch [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterConfiguration|Dokumentation im Shibboleth Wiki]] 
- 
-Beispiele für Shibboleth IdP 2.4.x finden sich in der [[https://www.aai.dfn.de/dokumentation/identity-provider/konfiguration/beispiele-fuer-attribut-generierung-und-freigabe/|alten Online-Dokumentation]]. 
- 
- 
-===== Attributfreigabe für Code-of-Conduct SPs ===== 
-   * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA" 
-   * [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|Kurze deutschsprachige Einführung]] 
-   * Dokumentation im [[https://wiki.edugain.org/Data_Protection_Code_of_Conduct_Cookbook|eduGAIN Wiki]] 
-   * [[https://wiki.edugain.org/index.php?action=remote&title=-&mod=SecureFileStore&rf=getFile&f=/5/50/Endorsement.pdf|Code of Conduct Endorsement Letter]] 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen 
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]] 
-**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** 
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> 
-    <AttributeFilterPolicy id="releaseToCoCo"> 
- 
-       <PolicyRequirementRule  
-               xsi:type="EntityAttributeExactMatch" 
-               attributeName="http://macedir.org/entity-category" 
-               attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> 
- 
-       <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default-->  
- 
-       <AttributeRule attributeID="displayName"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonScopedAffiliation"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonAffiliation"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="mail"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="cn"> 
-         <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="givenName"> 
-         <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="sn"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonPrincipalName"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="schacHomeOrganization"> 
-         <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="schacHomeOrganizationType"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonTargetedID"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="o"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-</AttributeFilterPolicy> 
- 
-</file> 
  
 ===== Freigabe der wichtigsten Attribute für CLARIN-SPs ===== ===== Freigabe der wichtigsten Attribute für CLARIN-SPs =====
    * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources    * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources
    * Test-SP unter https://lindat.mff.cuni.cz/secure/    * Test-SP unter https://lindat.mff.cuni.cz/secure/
-   Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]+   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
     <AttributeFilterPolicy id="releaseEverythingToClarin">     <AttributeFilterPolicy id="releaseEverythingToClarin">
Zeile 96: Zeile 15:
                wer sichergehen will, dass nur SPs bedient werden, die europäischen                 wer sichergehen will, dass nur SPs bedient werden, die europäischen 
                Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu                Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu
-               (https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/)+               (https://doku.tid.dfn.de/de:geant_coco)
            -->            -->
            <Rule xsi:type="EntityAttributeExactMatch"            <Rule xsi:type="EntityAttributeExactMatch"
Zeile 104: Zeile 23:
  
         <AttributeRule attributeID="eduPersonAffiliation">         <AttributeRule attributeID="eduPersonAffiliation">
-           <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default--> 
            <PermitValueRule xsi:type="AttributeInMetadata"/>            <PermitValueRule xsi:type="AttributeInMetadata"/>
         </AttributeRule>         </AttributeRule>
Zeile 150: Zeile 68:
  
 </AttributeFilterPolicy> </AttributeFilterPolicy>
- 
 </file> </file>
  
Zeile 156: Zeile 73:
    * Dokumentation unter https://refeds.org/category/research-and-scholarship    * Dokumentation unter https://refeds.org/category/research-and-scholarship
    * Zur Motivation siehe unter https://refeds.org/a/1154     * Zur Motivation siehe unter https://refeds.org/a/1154 
-   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release +   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen +   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. 
-   Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]+   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
Zeile 169: Zeile 86:
  
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
- +   <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden-->
-   <!-- falls eduPersonPrincipalName neu vergeben werden kann, +
-        muss  eduPersonTargetedID mit uebertragen werden -->+
    <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />    <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
- +   <AttributeRule attributeID="eduPersonTargetedID"    permitAny="true" />
-   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> +
    <!-- entweder sn + givenName oder displayName -->    <!-- entweder sn + givenName oder displayName -->
-   <AttributeRule attributeID="givenName" permitAny="true" /> +   <AttributeRule attributeID="givenName"              permitAny="true" /> 
- +   <AttributeRule attributeID="sn"                     permitAny="true" /> 
-   <AttributeRule attributeID="sn" permitAny="true" /> +   <AttributeRule attributeID="displayName"            permitAny="true" /> 
- +   <AttributeRule attributeID="mail"                   permitAny="true" />
-   <AttributeRule attributeID="displayName" permitAny="true" /> +
- +
-   <AttributeRule attributeID="mail" permitAny="true" />+
  
 </AttributeFilterPolicy> </AttributeFilterPolicy>
- 
 </file> </file>
 ===== ELIXIR ===== ===== ELIXIR =====
Zeile 206: Zeile 115:
 https://perun.elixir-czech.cz/attribute-check/ https://perun.elixir-czech.cz/attribute-check/
  
-Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:shibidp3storage|hier]]):+Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]):
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
 <AttributeFilterPolicy id="elixir"> <AttributeFilterPolicy id="elixir">
    <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />    <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />
- 
    <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>    <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
    <!-- nur wenn keine Persistent NameID üertragen wird -->    <!-- nur wenn keine Persistent NameID üertragen wird -->
    <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>    <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
- 
 </AttributeFilterPolicy> </AttributeFilterPolicy>
 </file> </file>
  
 +{{tag>idp3}}