Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3attrfilter [2019/07/12 09:23] Wolfgang Pempede:shibidp3attrfilter [2020/04/16 14:35] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden Silke Meyer
Zeile 1: Zeile 1:
 ====== Attribut-Konfiguration für e-Research SPs ====== ====== Attribut-Konfiguration für e-Research SPs ======
  
-Dienste, die von Forschungsinfrastrukturen und -Projekten betrieben werden, stehen häufig prinzipiell einer breiten wissenschaftlichen Öffentlichkeit zur Verfügung (z.B. TextGrid, WebLicht u.a.m.), in anderen Fällen sind spezielle, mitunter temporäre Berechtigungen erforderlich, die häufig über Entitlements abgebildet und von der jeweiligen wissenschaftlichen Community gepflegt werden. Diese Attribute werden üblicherweise nicht von den IdPs der jeweiligen Heimatorganisation vorgehalten, sondern in Attribute Authorities hinterlegt, die vom jeweiligen Projekt gepflegt werden. Nicht nur der guten wissenschaftlichen Praxis wegen, sondern auch um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und den in einer dienst-/projekt-spezifischen Attribute Authority hinterlegten Attributen herzustellen, ist neben Angaben zu Personennamen, Einrichtung und eMail ein global gültiger, eindeutiger Identifier erforderlich, z.B. eduPersonPrincipalName oder [[de:shibidp3attributes-uniqueid|eduPersonUniqueId]].+Dienste, die von Forschungsinfrastrukturen und -Projekten betrieben werden, stehen häufig prinzipiell einer breiten wissenschaftlichen Öffentlichkeit zur Verfügung (z.B. TextGrid, WebLicht u.a.m.), in anderen Fällen sind spezielle, mitunter temporäre Berechtigungen erforderlich, die häufig über Entitlements abgebildet und von der jeweiligen wissenschaftlichen Community gepflegt werden. Diese Attribute werden üblicherweise nicht von den IdPs der jeweiligen Heimatorganisation vorgehalten, sondern in Attribute Authorities hinterlegt, die vom jeweiligen Projekt gepflegt werden. Nicht nur der guten wissenschaftlichen Praxis wegen, sondern auch um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und den in einer dienst-/projekt-spezifischen Attribute Authority hinterlegten Attributen herzustellen, ist neben Angaben zu Personennamen, Einrichtung und eMail ein global gültiger, eindeutiger Identifier erforderlich, z.B. eduPersonPrincipalName oder [[de:shibidp:config-attributes-edupersonuniqueid|eduPersonUniqueId]].
  
 ===== Attributfreigabe für Code-of-Conduct SPs ===== ===== Attributfreigabe für Code-of-Conduct SPs =====
Zeile 9: Zeile 9:
    * [[https://wiki.geant.org/display/eduGAIN/Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]]    * [[https://wiki.geant.org/display/eduGAIN/Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]]
    * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen    * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen
-   * Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp3attributes-targetedid|dort]]+   * Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]]
 **Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** **Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:**
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
Zeile 76: Zeile 76:
    * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources    * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources
    * Test-SP unter https://lindat.mff.cuni.cz/secure/    * Test-SP unter https://lindat.mff.cuni.cz/secure/
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]]+   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp:config-attributes-edupersontargetedid|dort]]
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
     <AttributeFilterPolicy id="releaseEverythingToClarin">     <AttributeFilterPolicy id="releaseEverythingToClarin">
Zeile 86: Zeile 86:
                wer sichergehen will, dass nur SPs bedient werden, die europäischen                 wer sichergehen will, dass nur SPs bedient werden, die europäischen 
                Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu                Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu
-               (https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/)+               (https://doku.tid.dfn.de/de:geant_coco)
            -->            -->
            <Rule xsi:type="EntityAttributeExactMatch"            <Rule xsi:type="EntityAttributeExactMatch"
Zeile 148: Zeile 148:
    * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS    * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS
    * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen    * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen
-   * Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp3attributes-targetedid|dort]]+   * Zur Konfiguration der eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]]
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
Zeile 196: Zeile 196:
 https://perun.elixir-czech.cz/attribute-check/ https://perun.elixir-czech.cz/attribute-check/
  
-Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:shibidp3attributes-targetedid|dort]]):+Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:shibidp:config-attributes-edupersontargetedid|dort]]):
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
Zeile 210: Zeile 210:
 </file> </file>
  
 +{{tag>idp3}}