Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3attrfilter [2020/02/13 09:15]
Silke Meyer
— (aktuell)
Zeile 1: Zeile 1:
-====== Attribut-Konfiguration für e-Research SPs ====== 
- 
-Dienste, die von Forschungsinfrastrukturen und -Projekten betrieben werden, stehen häufig prinzipiell einer breiten wissenschaftlichen Öffentlichkeit zur Verfügung (z.B. TextGrid, WebLicht u.a.m.), in anderen Fällen sind spezielle, mitunter temporäre Berechtigungen erforderlich,​ die häufig über Entitlements abgebildet und von der jeweiligen wissenschaftlichen Community gepflegt werden. Diese Attribute werden üblicherweise nicht von den IdPs der jeweiligen Heimatorganisation vorgehalten,​ sondern in Attribute Authorities hinterlegt, die vom jeweiligen Projekt gepflegt werden. Nicht nur der guten wissenschaftlichen Praxis wegen, sondern auch um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und den in einer dienst-/​projekt-spezifischen Attribute Authority hinterlegten Attributen herzustellen,​ ist neben Angaben zu Personennamen,​ Einrichtung und eMail ein global gültiger, eindeutiger Identifier erforderlich,​ z.B. eduPersonPrincipalName oder [[de:​shibidp3attributes-uniqueid|eduPersonUniqueId]]. 
- 
-===== Attributfreigabe für Code-of-Conduct SPs ===== 
-   * Offizielle Bezeichnung:​ "​GÉANT Data Protection Code of Conduct for Service Providers in EU/​EEA"​ 
-   * [[de:​geant_coco|Kurze deutschsprachige Einführung]] 
-   * Dokumentation im [[https://​wiki.geant.org/​display/​eduGAIN/​Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] 
-   * [[https://​wiki.geant.org/​display/​eduGAIN/​Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]] 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen 
-   * Zur Konfiguration der eduPersonTargetedID siehe [[de:​shibidp3attributes-targetedid|dort]] 
-**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:** 
-<file xml /​opt/​shibboleth-idp/​conf/​attribute-filter.xml>​ 
-    <​AttributeFilterPolicy id="​releaseToCoCo">​ 
- 
-       <​PolicyRequirementRule ​ 
-               ​xsi:​type="​EntityAttributeExactMatch"​ 
-               ​attributeName="​http://​macedir.org/​entity-category"​ 
-               ​attributeValue="​http://​www.geant.net/​uri/​dataprotection-code-of-conduct/​v1"​ /> 
- 
-       <​!--onlyIfRequired="​true"​ kann hier weggelassen werden, da ab IdPv3.2 Default--> ​ 
- 
-       <​AttributeRule attributeID="​displayName">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​eduPersonScopedAffiliation">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​eduPersonAffiliation">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​mail">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​cn">​ 
-         <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​givenName">​ 
-         <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​sn">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​eduPersonPrincipalName">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​schacHomeOrganization">​ 
-         <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​schacHomeOrganizationType">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​eduPersonTargetedID">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-       <​AttributeRule attributeID="​o">​ 
-          <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-       </​AttributeRule>​ 
- 
-</​AttributeFilterPolicy>​ 
- 
-</​file>​ 
- 
-===== Freigabe der wichtigsten Attribute für CLARIN-SPs ===== 
-   * Liste der Dienste unter http://​clarin.eu/​content/​easy-access-protected-resources 
-   * Test-SP unter https://​lindat.mff.cuni.cz/​secure/​ 
-   * Zur Konfiguration der eduPersonTargetedID siehe unter [[de:​shibidp3attributes-targetedid|dort]] 
-<file xml /​opt/​shibboleth-idp/​conf/​attribute-filter.xml>​ 
-    <​AttributeFilterPolicy id="​releaseEverythingToClarin">​ 
-        <​PolicyRequirementRule xsi:​type="​AND">​ 
-           <​Rule xsi:​type="​EntityAttributeExactMatch"​ 
-                 ​attributeName="​http://​macedir.org/​entity-category"​ 
-                 ​attributeValue="​http://​clarin.eu/​category/​clarin-member"​ /> 
-           <​!-- 
-               wer sichergehen will, dass nur SPs bedient werden, die europäischen ​ 
-               ​Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu 
-               ​(https://​doku.tid.dfn.de/​de:​geant_coco) 
-           ​-->​ 
-           <​Rule xsi:​type="​EntityAttributeExactMatch"​ 
-                 ​attributeName="​http://​macedir.org/​entity-category"​ 
-                 ​attributeValue="​http://​www.geant.net/​uri/​dataprotection-code-of-conduct/​v1"​ /> 
-        </​PolicyRequirementRule>​ 
- 
-        <​AttributeRule attributeID="​eduPersonAffiliation">​ 
-           <​!--onlyIfRequired="​true"​ kann hier weggelassen werden, da ab IdPv3.2 Default-->​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID-->​ 
-        <​AttributeRule attributeID="​eduPersonPrincipalName">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <​AttributeRule attributeID="​eduPersonTargetedID">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <​AttributeRule attributeID="​sn">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <!-- einige SPs verlangen '​cn',​ andere '​displayName'​ --> 
- 
-        <​AttributeRule attributeID="​cn">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <​AttributeRule attributeID="​displayName">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <​AttributeRule attributeID="​mail">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <!-- einige SPs verlangen '​o',​ andere '​schacHomeOrganization'​ --> 
- 
-        <​AttributeRule attributeID="​o">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <​AttributeRule attributeID="​schacHomeOrganization">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-        <​AttributeRule attributeID="​schacHomeOrganizationType">​ 
-           <​PermitValueRule xsi:​type="​AttributeInMetadata"/>​ 
-        </​AttributeRule>​ 
- 
-</​AttributeFilterPolicy>​ 
- 
-</​file>​ 
- 
-===== REFEDS Research and Scholarship Entity Category ===== 
-   * Dokumentation unter https://​refeds.org/​category/​research-and-scholarship 
-   * Zur Motivation siehe unter https://​refeds.org/​a/​1154 ​ 
-   * Zu Datenschutz-Aspekten siehe https://​wiki.refeds.org/​display/​ENT/​Guidance+on+justification+for+attribute+release+for+RandS 
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen 
-   * Zur Konfiguration der eduPersonTargetedID siehe [[de:​shibidp3attributes-targetedid|dort]] 
- 
-<file xml /​opt/​shibboleth-idp/​conf/​attribute-filter.xml>​ 
-<​AttributeFilterPolicy id="​releaseToRandS">​ 
- 
-   <​PolicyRequirementRule ​ 
-           ​xsi:​type="​EntityAttributeExactMatch"​ 
-           ​attributeName="​http://​macedir.org/​entity-category"​ 
-           ​attributeValue="​http://​refeds.org/​category/​research-and-scholarship"​ /> 
- 
-   <​AttributeRule attributeID="​eduPersonScopedAffiliation"​ permitAny="​true"​ /> 
- 
-   <​!-- falls eduPersonPrincipalName neu vergeben werden kann, 
-        muss  eduPersonTargetedID mit uebertragen werden --> 
-   <​AttributeRule attributeID="​eduPersonPrincipalName"​ permitAny="​true"​ /> 
- 
-   <​AttributeRule attributeID="​eduPersonTargetedID"​ permitAny="​true"​ /> 
- 
-   <​!-- entweder sn + givenName oder displayName --> 
-   <​AttributeRule attributeID="​givenName"​ permitAny="​true"​ /> 
- 
-   <​AttributeRule attributeID="​sn"​ permitAny="​true"​ /> 
- 
-   <​AttributeRule attributeID="​displayName"​ permitAny="​true"​ /> 
- 
-   <​AttributeRule attributeID="​mail"​ permitAny="​true"​ /> 
- 
-</​AttributeFilterPolicy>​ 
- 
-</​file>​ 
-===== ELIXIR ===== 
- 
-ELIXIR ist eine Forschungsinfrastruktur für Daten aus dem Bereich Life Science (v.a. Genom-Datenbanken). Weiterführende Informationen finden sich auf der Homepage des Projekts unter http://​www.elixir-europe.org/​ und in dem {{wiki:​letter_to_encourage_idps_to_release_attributes_to_elixir.pdf|hier verlinkten Anschreiben}}. 
- 
-Der Zugang zu den ELIXIR Diensten erfolgt über einen SP Proxy (Entity ID: https://​login.elixir-czech.org/​proxy/​),​ der über [[https://​www.aai.dfn.de/​teilnahme/​interfederation/​|eduGAIN]] verfügbar ist.  
- 
-Benötigte Attribute (+ NameID): 
- 
-  * Persistent NameID / eduPersonPrincipalName / eduPersonTargetedID 
-  * eduPersonAffiliation / eduPersonScopedAffiliation (von besonderer Relevanz ist der Wert "​faculty"​) 
-  * schacHomeOrganization 
- 
-Dieser Service Provider (und die dahinter liegenden Dienste) verpflichtet sich dem //GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA// (siehe oben). Falls hierfür bereits eine Filter Policy nach dem angeführten Beispiel implementiert ist, sollte der Zugriff auf die ELIXIR Dienste ohne zusätzliche Maßnahmen funktionieren. 
- 
-Ob alle benötigten Angaben übertragen werden, lässt sich anhand dieses //Attribute Checks// überprüfen:​ 
- 
-https://​perun.elixir-czech.cz/​attribute-check/​ 
- 
-Hier noch ein Beispiel für eine dienstspezifische Attribute Filter Policy (zu Persistent NameID vs. eduPersonTargetedID siehe [[de:​shibidp3attributes-targetedid|dort]]):​ 
- 
-<file xml /​opt/​shibboleth-idp/​conf/​attribute-filter.xml>​ 
-<​AttributeFilterPolicy id="​elixir">​ 
-   <​PolicyRequirementRule xsi:​type="​Requester"​ value="​https://​login.elixir-czech.org/​proxy/"​ /> 
- 
-   <​AttributeRule attributeID="​schacHomeOrganization"​ permitAny="​true"/>​ 
-   <​AttributeRule attributeID="​eduPersonScopedAffiliation"​ permitAny="​true"/>​ 
-   <​!-- nur wenn keine Persistent NameID üertragen wird --> 
-   <​AttributeRule attributeID="​eduPersonTargetedID"​ permitAny="​true"/>​ 
- 
-</​AttributeFilterPolicy>​ 
-</​file>​ 
  
  • Zuletzt geändert: vor 5 Monaten