Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp3attrfilter [2017/02/20 14:39] – [REFEDS Research and Scholarship Entity Category] Wolfgang Pempe | de:shibidp3attrfilter [2020/05/13 15:53] – Silke Meyer |
---|
====== Attribute Filter Konfiguration - Beispiele ====== | ====== Attribut-Konfiguration für e-Research SPs ====== |
| |
=== Änderung in attribute-filter.xml gegenüber IdP 2.x === | |
| |
* [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterLegacyNameSpaceMapping|Syntax vereinfacht]] (u.a. nur noch ein Namespace) | |
* Filtern von NameIDs (transientID und persistentID) enfällt. | |
| |
Zum **grundlegenden Verständnis** des Zusammenspiels von Attributgenerierung, Weitergabe und Verarbeitung siehe die [[https://www.aai.dfn.de/uploads/media/20150624-AAIWS13-04-attribute.pdf|Präsentation vom 13. DFN-AAI-Workshop]]. | |
| |
Siehe auch [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterConfiguration|Dokumentation im Shibboleth Wiki]] | |
| |
Beispiele für Shibboleth IdP 2.4.x finden sich in der [[https://www.aai.dfn.de/dokumentation/identity-provider/konfiguration/beispiele-fuer-attribut-generierung-und-freigabe/|alten Online-Dokumentation]]. | |
| |
| |
===== Attributfreigabe für Code-of-Conduct SPs ===== | |
* Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA" | |
* [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|Kurze deutschsprachige Einführung]] | |
* Dokumentation im [[https://wiki.edugain.org/Data_Protection_Code_of_Conduct_Cookbook|eduGAIN Wiki]] | |
* [[https://wiki.edugain.org/index.php?action=remote&title=-&mod=SecureFileStore&rf=getFile&f=/5/50/Endorsement.pdf|Code of Conduct Endorsement Letter]] | |
* IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen | |
* Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]] | |
**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** | |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | |
<AttributeFilterPolicy id="releaseToCoCo"> | |
| |
<PolicyRequirementRule | |
xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> | |
| |
<!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default--> | |
| |
<AttributeRule attributeID="displayName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonScopedAffiliation"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonAffiliation"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="mail"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="cn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="givenName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="sn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonPrincipalName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganization"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganizationType"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonTargetedID"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="o"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
</AttributeFilterPolicy> | |
| |
</file> | |
| |
===== Freigabe der wichtigsten Attribute für CLARIN-SPs ===== | |
* Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources | |
* Test-SP unter https://lindat.mff.cuni.cz/secure/ | |
* Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]] | |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | |
<AttributeFilterPolicy id="releaseEverythingToClarin"> | |
<PolicyRequirementRule xsi:type="AND"> | |
<Rule xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://clarin.eu/category/clarin-member" /> | |
<!-- | |
wer sichergehen will, dass nur SPs bedient werden, die europäischen | |
Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu | |
(https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/) | |
--> | |
<Rule xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> | |
</PolicyRequirementRule> | |
| |
<AttributeRule attributeID="eduPersonAffiliation"> | |
<!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default--> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID--> | |
<AttributeRule attributeID="eduPersonPrincipalName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonTargetedID"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="sn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- einige SPs verlangen 'cn', andere 'displayName' --> | |
| |
<AttributeRule attributeID="cn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="displayName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="mail"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' --> | |
| |
<AttributeRule attributeID="o"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganization"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganizationType"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
</AttributeFilterPolicy> | |
| |
</file> | |
| |
===== REFEDS Research and Scholarship Entity Category ===== | ===== REFEDS Research and Scholarship Entity Category ===== |
* Dokumentation unter https://refeds.org/category/research-and-scholarship | * Dokumentation unter https://refeds.org/category/research-and-scholarship |
* Zur Motivation siehe unter https://refeds.org/a/1154 | * Zur Motivation siehe unter https://refeds.org/a/1154 |
* Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release | * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS |
* IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen | * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. |
* Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]] | * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] |
| |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| |
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> | <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> |
| <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. --> |
<!-- falls eduPersonPrincipalName neu vergeben werden kann, | |
muss eduPersonTargetedID mit uebertragen werden --> | |
<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> | <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> |
| <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> |
<AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> | |
<!-- entweder sn + givenName oder displayName --> | <!-- entweder sn + givenName oder displayName --> |
<AttributeRule attributeID="givenName" permitAny="true" /> | <AttributeRule attributeID="givenName" permitAny="true" /> |
| <AttributeRule attributeID="sn" permitAny="true" /> |
<AttributeRule attributeID="sn" permitAny="true" /> | <AttributeRule attributeID="displayName" permitAny="true" /> |
| <AttributeRule attributeID="mail" permitAny="true" /> |
<AttributeRule attributeID="displayName" permitAny="true" /> | |
| |
<AttributeRule attributeID="mail" permitAny="true" /> | |
| |
</AttributeFilterPolicy> | </AttributeFilterPolicy> |
| |
</file> | </file> |
===== ELIXIR ===== | ===== ELIXIR ===== |
https://perun.elixir-czech.cz/attribute-check/ | https://perun.elixir-czech.cz/attribute-check/ |
| |
Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:shibidp3storage|hier]]): | Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]): |
| |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
<AttributeFilterPolicy id="elixir"> | <AttributeFilterPolicy id="elixir"> |
<PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> | <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> |
| |
<AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> | <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> |
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> | <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> |
<!-- nur wenn keine Persistent NameID üertragen wird --> | <!-- nur wenn keine Persistent NameID üertragen wird --> |
<AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> | <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> |
| |
</AttributeFilterPolicy> | </AttributeFilterPolicy> |
</file> | </file> |
| |
| {{tag>idp3}} |