Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp3attrfilter [2020/05/13 15:43] – Silke Meyer | de:shibidp3attrfilter [2020/05/13 15:56] – Silke Meyer |
---|
| |
| |
===== Freigabe der wichtigsten Attribute für CLARIN-SPs ===== | |
* Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources | |
* Test-SP unter https://lindat.mff.cuni.cz/secure/ | |
* Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] | |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | |
<AttributeFilterPolicy id="releaseEverythingToClarin"> | |
<PolicyRequirementRule xsi:type="AND"> | |
<Rule xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://clarin.eu/category/clarin-member" /> | |
<!-- | |
wer sichergehen will, dass nur SPs bedient werden, die europäischen | |
Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu | |
(https://doku.tid.dfn.de/de:geant_coco) | |
--> | |
<Rule xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> | |
</PolicyRequirementRule> | |
| |
<AttributeRule attributeID="eduPersonAffiliation"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID--> | |
<AttributeRule attributeID="eduPersonPrincipalName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="eduPersonTargetedID"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="sn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- einige SPs verlangen 'cn', andere 'displayName' --> | |
| |
<AttributeRule attributeID="cn"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="displayName"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="mail"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' --> | |
| |
<AttributeRule attributeID="o"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganization"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="schacHomeOrganizationType"> | |
<PermitValueRule xsi:type="AttributeInMetadata"/> | |
</AttributeRule> | |
| |
</AttributeFilterPolicy> | |
</file> | |
| |
===== REFEDS Research and Scholarship Entity Category ===== | |
* Dokumentation unter https://refeds.org/category/research-and-scholarship | |
* Zur Motivation siehe unter https://refeds.org/a/1154 | |
* Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS | |
* IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen. | |
* Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] | |
| |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | |
<AttributeFilterPolicy id="releaseToRandS"> | |
| |
<PolicyRequirementRule | |
xsi:type="EntityAttributeExactMatch" | |
attributeName="http://macedir.org/entity-category" | |
attributeValue="http://refeds.org/category/research-and-scholarship" /> | |
| |
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> | |
<!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. --> | |
<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> | |
<AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> | |
<!-- entweder sn + givenName oder displayName --> | |
<AttributeRule attributeID="givenName" permitAny="true" /> | |
<AttributeRule attributeID="sn" permitAny="true" /> | |
<AttributeRule attributeID="displayName" permitAny="true" /> | |
<AttributeRule attributeID="mail" permitAny="true" /> | |
| |
</AttributeFilterPolicy> | |
</file> | |
===== ELIXIR ===== | ===== ELIXIR ===== |
| |