Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3attrfilter [2016/11/17 09:52] Wolfgang Pempede:shibidp3attrfilter [2020/05/13 16:19] (aktuell) – gelöscht Silke Meyer
Zeile 1: Zeile 1:
-====== Attribute Filter Konfiguration - Beispiele ====== 
- 
-Siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterConfiguration|Dokumentation im Shibboleth Wiki]] 
- 
-Beispiele für Shibboleth IdP 2.4.x finden sich in der [[https://www.aai.dfn.de/dokumentation/identity-provider/konfiguration/beispiele-fuer-attribut-generierung-und-freigabe/|alten Online-Dokumentation]]. 
- 
-===== Standard-Konfiguration für (die meisten) Verlagsanbieter ===== 
- 
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> 
- 
-<!-- Anonyme Angaben können an alle SP freigegeben werden, 
-     damit sind fast alle Verlagsanbieter-SPs in der Föderation  
-     schon zufrieden --> 
-  
-<AttributeFilterPolicy id="releaseToAnyone"> 
-   <PolicyRequirementRule xsi:type="ANY" /> 
-  
-   <!-- eduPersonEntitlement nur den relevanten Wert für die Verlage --> 
-   <AttributeRule attributeID="eduPersonEntitlement"> 
-      <PermitValueRule xsi:type="Value" value="urn:mace:dir:entitlement:common-lib-terms"/> 
-   </AttributeRule> 
-  
-   <!-- eduPersonScopedAffiliation nur die anonymen Werte 
-        "member" und "library-walk-in"--> 
-   <AttributeRule attributeID="eduPersonScopedAffiliation"> 
-      <PermitValueRule xsi:type="OR"> 
-         <Rule xsi:type="Value" value="member" ignoreCase="true" />  
-         <Rule xsi:type="Value" value="library-walk-in" ignoreCase="true" />  
-      </PermitValueRule> 
-   </AttributeRule> 
-  
-</AttributeFilterPolicy> 
- 
-</file> 
- 
- 
-===== Attributfreigabe für Code-of-Conduct SPs ===== 
-   * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA" 
-   * [[https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/|Kurze deutschsprachige Einführung]] 
-   * Dokumentation im [[https://wiki.edugain.org/Data_Protection_Code_of_Conduct_Cookbook|eduGAIN Wiki]] 
-   * [[https://wiki.edugain.org/index.php?action=remote&title=-&mod=SecureFileStore&rf=getFile&f=/5/50/Endorsement.pdf|Code of Conduct Endorsement Letter]] 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen 
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]] 
-**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** 
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> 
-    <AttributeFilterPolicy id="releaseToCoCo"> 
- 
-       <PolicyRequirementRule  
-               xsi:type="EntityAttributeExactMatch" 
-               attributeName="http://macedir.org/entity-category" 
-               attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> 
- 
-       <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default-->  
- 
-       <AttributeRule attributeID="displayName"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonScopedAffiliation"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonAffiliation"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="mail"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="cn"> 
-         <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="givenName"> 
-         <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="sn"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonPrincipalName"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="schacHomeOrganization"> 
-         <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="schacHomeOrganizationType"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="eduPersonTargetedID"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="o"> 
-          <PermitValueRule xsi:type="AttributeInMetadata"/> 
-       </AttributeRule> 
- 
-</AttributeFilterPolicy> 
- 
-</file> 
- 
-===== Freigabe der wichtigsten Attribute für CLARIN-SPs ===== 
-   * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources 
-   * Test-SP unter https://lindat.mff.cuni.cz/secure/ 
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]] 
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> 
-    <AttributeFilterPolicy id="releaseEverythingToClarin"> 
-        <PolicyRequirementRule xsi:type="AND"> 
-           <Rule xsi:type="EntityAttributeExactMatch" 
-                 attributeName="http://macedir.org/entity-category" 
-                 attributeValue="http://clarin.eu/category/clarin-member" /> 
-           <!-- 
-               wer sichergehen will, dass nur SPs bedient werden, die europäischen  
-               Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu 
-               (https://www.aai.dfn.de/der-dienst/datenschutz/data-protection-code-of-conduct/) 
-           --> 
-           <Rule xsi:type="EntityAttributeExactMatch" 
-                 attributeName="http://macedir.org/entity-category" 
-                 attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> 
-        </PolicyRequirementRule> 
- 
-        <AttributeRule attributeID="eduPersonAffiliation"> 
-           <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default--> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID--> 
-        <AttributeRule attributeID="eduPersonPrincipalName"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <AttributeRule attributeID="eduPersonTargetedID"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <AttributeRule attributeID="sn"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <!-- einige SPs verlangen 'cn', andere 'displayName' --> 
- 
-        <AttributeRule attributeID="cn"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <AttributeRule attributeID="displayName"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <AttributeRule attributeID="mail"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' --> 
- 
-        <AttributeRule attributeID="o"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <AttributeRule attributeID="schacHomeOrganization"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-        <AttributeRule attributeID="schacHomeOrganizationType"> 
-           <PermitValueRule xsi:type="AttributeInMetadata"/> 
-        </AttributeRule> 
- 
-</AttributeFilterPolicy> 
- 
-</file> 
- 
-===== REFEDS Research and Scholarship Entity Category ===== 
-   * Dokumentation unter https://refeds.org/category/research-and-scholarship 
-   * Zur Motivation siehe unter https://refeds.org/a/1154  
-   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen 
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:shibidp3storage#spezialfall_edupersontargetedid|Storage]] 
- 
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> 
-<AttributeFilterPolicy id="releaseToRandS"> 
- 
-   <PolicyRequirementRule  
-           xsi:type="EntityAttributeExactMatch" 
-           attributeName="http://macedir.org/entity-category" 
-           attributeValue="http://refeds.org/category/research-and-scholarship" /> 
- 
-   <AttributeRule attributeID="eduPersonScopedAffiliation"> 
-       <PermitValueRule xsi:type="AttributeInMetadata"/> 
-   </AttributeRule> 
- 
-   <!-- falls eduPersonPrincipalName neu vergeben werden kann, 
-        muss  eduPersonTargetedID mit uebertragen werden --> 
-   <AttributeRule attributeID="eduPersonPrincipalName"> 
-      <PermitValueRule xsi:type="AttributeInMetadata"/> 
-   </AttributeRule> 
- 
-   <AttributeRule attributeID="eduPersonTargetedID"> 
-      <PermitValueRule xsi:type="AttributeInMetadata"/> 
-   </AttributeRule> 
- 
-   <!-- entweder sn + givenName oder displayName --> 
-   <AttributeRule attributeID="givenName"> 
-      <PermitValueRule xsi:type="AttributeInMetadata"/> 
-   </AttributeRule> 
- 
-   <AttributeRule attributeID="sn"> 
-      <PermitValueRule xsi:type="AttributeInMetadata"/> 
-   </AttributeRule> 
- 
-   <AttributeRule attributeID="displayName"> 
-      <PermitValueRule xsi:type="AttributeInMetadata"/> 
-   </AttributeRule> 
- 
-   <AttributeRule attributeID="mail"> 
-      <PermitValueRule xsi:type="AttributeInMetadata"/> 
-   </AttributeRule> 
- 
-</AttributeFilterPolicy> 
- 
-</file> 
- 
-===== ELIXIR ===== 
- 
-ELIXIR ist eine Forschungsinfrastruktur für Daten aus dem Bereich Life Science (v.a. Genom-Datenbanken). Weiterführende Informationen finden sich auf der Homepage des Projekts unter http://www.elixir-europe.org/ und in dem {{wiki:letter_to_encourage_idps_to_release_attributes_to_elixir.pdf|hier verlinkten Anschreiben}}. 
- 
-Der Zugang zu den ELIXIR Diensten erfolgt über einen SP Proxy (Entity ID: https://login.elixir-czech.org/proxy/), der über [[https://www.aai.dfn.de/teilnahme/interfederation/|eduGAIN]] verfügbar ist.  
- 
-Benötigte Attribute (+ NameID): 
- 
-  * Persistent NameID / eduPersonPrincipalName / eduPersonTargetedID 
-  * eduPersonAffiliation / eduPersonScopedAffiliation (von besonderer Relevanz ist der Wert "faculty") 
-  * schacHomeOrganization 
- 
-Dieser Service Provider (und die dahinter liegenden Dienste) verpflichtet sich dem //GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA// (siehe oben). Falls hierfür bereits eine Filter Policy nach dem angeführten Beispiel implementiert ist, sollte der Zugriff auf die ELIXIR Dienste ohne zusätzliche Maßnahmen funktionieren. 
- 
-Ob alle benötigten Angaben übertragen werden, lässt sich anhand dieses //Attribute Checks// überprüfen: 
- 
-https://perun.elixir-czech.cz/attribute-check/ 
- 
-Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetdID siehe [[hier]]): 
- 
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> 
-<AttributeFilterPolicy id="exlixir"> 
-   <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> 
- 
-   <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> 
-   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> 
-   <!-- nur wenn keine Persistent NameID üertragen wird --> 
-   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> 
- 
-</AttributeFilterPolicy> 
-</file> 
  
  • Zuletzt geändert: vor 7 Jahren