Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3attrfilter [2017/03/06 11:31] – Wolfgang Pempe
+++ de:shibidp3attrfilter [2020/05/13 15:53] – Silke Meyer
@@ Zeile 2: / Zeile 2: @@
-===== Attributfreigabe für Code-of-Conduct SPs =====
-   * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA"
-   * [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|Kurze deutschsprachige Einführung]]
-   * Dokumentation im [[https://wiki.edugain.org/Data_Protection_Code_of_Conduct_Cookbook|eduGAIN Wiki]]
-   * [[https://wiki.edugain.org/index.php?action=remote&title=-&mod=SecureFileStore&rf=getFile&f=/5/50/Endorsement.pdf|Code of Conduct Endorsement Letter]]
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]
-**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:**
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-    <AttributeFilterPolicy id="releaseToCoCo">
-       <PolicyRequirementRule
-               xsi:type="EntityAttributeExactMatch"
-               attributeName="http://macedir.org/entity-category"
-               attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" />
-       <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default-->
-       <AttributeRule attributeID="displayName">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonScopedAffiliation">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonAffiliation">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="mail">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="cn">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="givenName">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="sn">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonPrincipalName">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="schacHomeOrganization">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="schacHomeOrganizationType">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonTargetedID">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="o">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-</AttributeFilterPolicy>
-</file>
-===== Freigabe der wichtigsten Attribute für CLARIN-SPs =====
-   * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources
-   * Test-SP unter https://lindat.mff.cuni.cz/secure/
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-    <AttributeFilterPolicy id="releaseEverythingToClarin">
-        <PolicyRequirementRule xsi:type="AND">
-           <Rule xsi:type="EntityAttributeExactMatch"
-                 attributeName="http://macedir.org/entity-category"
-                 attributeValue="http://clarin.eu/category/clarin-member" />
-           <!--
-               wer sichergehen will, dass nur SPs bedient werden, die europäischen
-               Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu
-               (https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/)
-           -->
-           <Rule xsi:type="EntityAttributeExactMatch"
-                 attributeName="http://macedir.org/entity-category"
-                 attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" />
-        </PolicyRequirementRule>
-        <AttributeRule attributeID="eduPersonAffiliation">
-           <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default-->
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID-->
-        <AttributeRule attributeID="eduPersonPrincipalName">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="eduPersonTargetedID">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="sn">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- einige SPs verlangen 'cn', andere 'displayName' -->
-        <AttributeRule attributeID="cn">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="displayName">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="mail">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' -->
-        <AttributeRule attributeID="o">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="schacHomeOrganization">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="schacHomeOrganizationType">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-</AttributeFilterPolicy>
-</file>
 ===== REFEDS Research and Scholarship Entity Category =====
    * Dokumentation unter https://refeds.org/category/research-and-scholarship
    * Zur Motivation siehe unter https://refeds.org/a/1154
-   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release
+   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen
+   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen.
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]
+   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
@@ Zeile 158: / Zeile 19: @@
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
+   <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. -->
-   <!-- falls eduPersonPrincipalName neu vergeben werden kann,
-        muss  eduPersonTargetedID mit uebertragen werden -->
    <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
+   <AttributeRule attributeID="eduPersonTargetedID"    permitAny="true" />
-   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
    <!-- entweder sn + givenName oder displayName -->
-   <AttributeRule attributeID="givenName" permitAny="true" />
+   <AttributeRule attributeID="givenName"              permitAny="true" />
+   <AttributeRule attributeID="sn"                     permitAny="true" />
-   <AttributeRule attributeID="sn" permitAny="true" />
+   <AttributeRule attributeID="displayName"            permitAny="true" />
+   <AttributeRule attributeID="mail"                   permitAny="true" />
-   <AttributeRule attributeID="displayName" permitAny="true" />
-   <AttributeRule attributeID="mail" permitAny="true" />
 </AttributeFilterPolicy>
 </file>
 ===== ELIXIR =====
@@ Zeile 195: / Zeile 48: @@
 https://perun.elixir-czech.cz/attribute-check/
-Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:shibidp3storage|hier]]):
+Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]):
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
 <AttributeFilterPolicy id="elixir">
    <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />
    <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
    <!-- nur wenn keine Persistent NameID üertragen wird -->
    <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
 </AttributeFilterPolicy>
 </file>
+{{tag>idp3}}