| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:shibidp3attrfilter [2020/04/16 14:35] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden Silke Meyer | de:shibidp3attrfilter [2020/04/16 14:44] – [ELIXIR] Silke Meyer |
|---|
| * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] | * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] |
| * [[https://wiki.geant.org/display/eduGAIN/Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]] | * [[https://wiki.geant.org/display/eduGAIN/Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]] |
| * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen | * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. |
| * Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]] | * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] |
| **Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** | **Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** |
| <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| |
| </AttributeFilterPolicy> | </AttributeFilterPolicy> |
| |
| </file> | </file> |
| |
| * Zur Motivation siehe unter https://refeds.org/a/1154 | * Zur Motivation siehe unter https://refeds.org/a/1154 |
| * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS | * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS |
| * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen | * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. |
| * Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]] | * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] |
| |
| <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| |
| <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> | <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> |
| | <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. --> |
| <!-- falls eduPersonPrincipalName neu vergeben werden kann, | |
| muss eduPersonTargetedID mit uebertragen werden --> | |
| <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> | <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> |
| | <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> |
| <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> | |
| <!-- entweder sn + givenName oder displayName --> | <!-- entweder sn + givenName oder displayName --> |
| <AttributeRule attributeID="givenName" permitAny="true" /> | <AttributeRule attributeID="givenName" permitAny="true" /> |
| | <AttributeRule attributeID="sn" permitAny="true" /> |
| <AttributeRule attributeID="sn" permitAny="true" /> | <AttributeRule attributeID="displayName" permitAny="true" /> |
| | <AttributeRule attributeID="mail" permitAny="true" /> |
| <AttributeRule attributeID="displayName" permitAny="true" /> | |
| | |
| <AttributeRule attributeID="mail" permitAny="true" /> | |
| |
| </AttributeFilterPolicy> | </AttributeFilterPolicy> |
| |
| </file> | </file> |
| ===== ELIXIR ===== | ===== ELIXIR ===== |
| https://perun.elixir-czech.cz/attribute-check/ | https://perun.elixir-czech.cz/attribute-check/ |
| |
| Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]]): | Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]): |
| |
| <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| <AttributeFilterPolicy id="elixir"> | <AttributeFilterPolicy id="elixir"> |
| <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> | <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> |
| |
| <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> | <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> |
| <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> | <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> |
| <!-- nur wenn keine Persistent NameID üertragen wird --> | <!-- nur wenn keine Persistent NameID üertragen wird --> |
| <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> | <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> |
| |
| </AttributeFilterPolicy> | </AttributeFilterPolicy> |
| </file> | </file> |
| |
| {{tag>idp3}} | {{tag>idp3}} |