Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp3attrfilter [2020/04/16 14:35] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden Silke Meyer | de:shibidp3attrfilter [2020/05/13 15:53] – Silke Meyer |
---|
====== Attribut-Konfiguration für e-Research SPs ====== | ====== Attribut-Konfiguration für e-Research SPs ====== |
| |
Dienste, die von Forschungsinfrastrukturen und -Projekten betrieben werden, stehen häufig prinzipiell einer breiten wissenschaftlichen Öffentlichkeit zur Verfügung (z.B. TextGrid, WebLicht u.a.m.), in anderen Fällen sind spezielle, mitunter temporäre Berechtigungen erforderlich, die häufig über Entitlements abgebildet und von der jeweiligen wissenschaftlichen Community gepflegt werden. Diese Attribute werden üblicherweise nicht von den IdPs der jeweiligen Heimatorganisation vorgehalten, sondern in Attribute Authorities hinterlegt, die vom jeweiligen Projekt gepflegt werden. Nicht nur der guten wissenschaftlichen Praxis wegen, sondern auch um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und den in einer dienst-/projekt-spezifischen Attribute Authority hinterlegten Attributen herzustellen, ist neben Angaben zu Personennamen, Einrichtung und eMail ein global gültiger, eindeutiger Identifier erforderlich, z.B. eduPersonPrincipalName oder [[de:shibidp:config-attributes-edupersonuniqueid|eduPersonUniqueId]]. | |
| |
===== Attributfreigabe für Code-of-Conduct SPs ===== | |
* Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA" | |
* [[de:geant_coco|Kurze deutschsprachige Einführung]] | |
* Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] | |
* [[https://wiki.geant.org/display/eduGAIN/Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]] | |
* IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen | |
* Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]] | |
**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** | |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | |
<AttributeFilterPolicy id="releaseToCoCo"> | |
| |
<PolicyRequirementRule | |
xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> | |
| |
<!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default--> | |
| |
<AttributeRule attributeID="displayName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonScopedAffiliation"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonAffiliation"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="mail"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="cn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="givenName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="sn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonPrincipalName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganization"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganizationType"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonTargetedID"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="o"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
</AttributeFilterPolicy> | |
| |
</file> | |
| |
===== Freigabe der wichtigsten Attribute für CLARIN-SPs ===== | |
* Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources | |
* Test-SP unter https://lindat.mff.cuni.cz/secure/ | |
* Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp:config-attributes-edupersontargetedid|dort]] | |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | |
<AttributeFilterPolicy id="releaseEverythingToClarin"> | |
<PolicyRequirementRule xsi:type="AND"> | |
<Rule xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://clarin.eu/category/clarin-member" /> | |
<!-- | |
wer sichergehen will, dass nur SPs bedient werden, die europäischen | |
Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu | |
(https://doku.tid.dfn.de/de:geant_coco) | |
--> | |
<Rule xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> | |
</PolicyRequirementRule> | |
| |
<AttributeRule attributeID="eduPersonAffiliation"> | |
<!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default--> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID--> | |
<AttributeRule attributeID="eduPersonPrincipalName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonTargetedID"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="sn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- einige SPs verlangen 'cn', andere 'displayName' --> | |
| |
<AttributeRule attributeID="cn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="displayName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="mail"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' --> | |
| |
<AttributeRule attributeID="o"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganization"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganizationType"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
</AttributeFilterPolicy> | |
| |
</file> | |
| |
===== REFEDS Research and Scholarship Entity Category ===== | ===== REFEDS Research and Scholarship Entity Category ===== |
* Zur Motivation siehe unter https://refeds.org/a/1154 | * Zur Motivation siehe unter https://refeds.org/a/1154 |
* Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS | * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS |
* IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen | * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. |
* Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]] | * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] |
| |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| |
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> | <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> |
| <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. --> |
<!-- falls eduPersonPrincipalName neu vergeben werden kann, | |
muss eduPersonTargetedID mit uebertragen werden --> | |
<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> | <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> |
| <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> |
<AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> | |
<!-- entweder sn + givenName oder displayName --> | <!-- entweder sn + givenName oder displayName --> |
<AttributeRule attributeID="givenName" permitAny="true" /> | <AttributeRule attributeID="givenName" permitAny="true" /> |
| <AttributeRule attributeID="sn" permitAny="true" /> |
<AttributeRule attributeID="sn" permitAny="true" /> | <AttributeRule attributeID="displayName" permitAny="true" /> |
| <AttributeRule attributeID="mail" permitAny="true" /> |
<AttributeRule attributeID="displayName" permitAny="true" /> | |
| |
<AttributeRule attributeID="mail" permitAny="true" /> | |
| |
</AttributeFilterPolicy> | </AttributeFilterPolicy> |
| |
</file> | </file> |
===== ELIXIR ===== | ===== ELIXIR ===== |
https://perun.elixir-czech.cz/attribute-check/ | https://perun.elixir-czech.cz/attribute-check/ |
| |
Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]]): | Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]): |
| |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
<AttributeFilterPolicy id="elixir"> | <AttributeFilterPolicy id="elixir"> |
<PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> | <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> |
| |
<AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> | <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> |
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> | <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> |
<!-- nur wenn keine Persistent NameID üertragen wird --> | <!-- nur wenn keine Persistent NameID üertragen wird --> |
<AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> | <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> |
| |
</AttributeFilterPolicy> | </AttributeFilterPolicy> |
</file> | </file> |
| |
{{tag>idp3}} | {{tag>idp3}} |