Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3attrfilter [2020/05/13 15:31] – Silke Meyer
+++ de:shibidp3attrfilter [2020/05/13 16:19] (aktuell) – gelöscht Silke Meyer
@@ Zeile 1: / Zeile 1: @@
-====== Attribut-Konfiguration für e-Research SPs ======
-===== Attributfreigabe für Code-of-Conduct SPs =====
-   * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA"
-   * [[de:geant_coco|Kurze deutschsprachige Einführung]]
-   * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]]
-   * [[https://wiki.geant.org/display/eduGAIN/Code+of+Conduct+Endorsement|Code of Conduct Endorsement Letter]]
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen.
-   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
-**Ausführliches Beispiel, das alle Eventualitäten abdecken sollte:**
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-    <AttributeFilterPolicy id="releaseToCoCo">
-       <PolicyRequirementRule
-               xsi:type="EntityAttributeExactMatch"
-               attributeName="http://macedir.org/entity-category"
-               attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" />
-       <!--onlyIfRequired="true" kann hier weggelassen werden, da ab IdPv3.2 Default-->
-       <AttributeRule attributeID="displayName">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonScopedAffiliation">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonAffiliation">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="mail">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="cn">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="givenName">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="sn">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonPrincipalName">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="schacHomeOrganization">
-         <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="schacHomeOrganizationType">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="eduPersonTargetedID">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-       <AttributeRule attributeID="o">
-          <PermitValueRule xsi:type="AttributeInMetadata"/>
-       </AttributeRule>
-</AttributeFilterPolicy>
-</file>
-===== Freigabe der wichtigsten Attribute für CLARIN-SPs =====
-   * Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources
-   * Test-SP unter https://lindat.mff.cuni.cz/secure/
-   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-    <AttributeFilterPolicy id="releaseEverythingToClarin">
-        <PolicyRequirementRule xsi:type="AND">
-           <Rule xsi:type="EntityAttributeExactMatch"
-                 attributeName="http://macedir.org/entity-category"
-                 attributeValue="http://clarin.eu/category/clarin-member" />
-           <!--
-               wer sichergehen will, dass nur SPs bedient werden, die europäischen
-               Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu
-               (https://doku.tid.dfn.de/de:geant_coco)
-           -->
-           <Rule xsi:type="EntityAttributeExactMatch"
-                 attributeName="http://macedir.org/entity-category"
-                 attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" />
-        </PolicyRequirementRule>
-        <AttributeRule attributeID="eduPersonAffiliation">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID-->
-        <AttributeRule attributeID="eduPersonPrincipalName">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="eduPersonTargetedID">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="sn">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- einige SPs verlangen 'cn', andere 'displayName' -->
-        <AttributeRule attributeID="cn">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="displayName">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="mail">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' -->
-        <AttributeRule attributeID="o">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="schacHomeOrganization">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-        <AttributeRule attributeID="schacHomeOrganizationType">
-           <PermitValueRule xsi:type="AttributeInMetadata"/>
-        </AttributeRule>
-</AttributeFilterPolicy>
-</file>
-===== REFEDS Research and Scholarship Entity Category =====
-   * Dokumentation unter https://refeds.org/category/research-and-scholarship
-   * Zur Motivation siehe unter https://refeds.org/a/1154
-   * Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS
-   * IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen.
-   * Konfiguration der [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]]
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-<AttributeFilterPolicy id="releaseToRandS">
-   <PolicyRequirementRule
-           xsi:type="EntityAttributeExactMatch"
-           attributeName="http://macedir.org/entity-category"
-           attributeValue="http://refeds.org/category/research-and-scholarship" />
-   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
-   <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. -->
-   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
-   <AttributeRule attributeID="eduPersonTargetedID"    permitAny="true" />
-   <!-- entweder sn + givenName oder displayName -->
-   <AttributeRule attributeID="givenName"              permitAny="true" />
-   <AttributeRule attributeID="sn"                     permitAny="true" />
-   <AttributeRule attributeID="displayName"            permitAny="true" />
-   <AttributeRule attributeID="mail"                   permitAny="true" />
-</AttributeFilterPolicy>
-</file>
-===== ELIXIR =====
-ELIXIR ist eine Forschungsinfrastruktur für Daten aus dem Bereich Life Science (v.a. Genom-Datenbanken). Weiterführende Informationen finden sich auf der Homepage des Projekts unter http://www.elixir-europe.org/ und in dem {{wiki:letter_to_encourage_idps_to_release_attributes_to_elixir.pdf|hier verlinkten Anschreiben}}.
-Der Zugang zu den ELIXIR Diensten erfolgt über einen SP Proxy (Entity ID: https://login.elixir-czech.org/proxy/), der über [[https://www.aai.dfn.de/teilnahme/interfederation/|eduGAIN]] verfügbar ist.
-Benötigte Attribute (+ NameID):
-  * Persistent NameID / eduPersonPrincipalName / eduPersonTargetedID
-  * eduPersonAffiliation / eduPersonScopedAffiliation (von besonderer Relevanz ist der Wert "faculty")
-  * schacHomeOrganization
-Dieser Service Provider (und die dahinter liegenden Dienste) verpflichtet sich dem //GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA// (siehe oben). Falls hierfür bereits eine Filter Policy nach dem angeführten Beispiel implementiert ist, sollte der Zugriff auf die ELIXIR Dienste ohne zusätzliche Maßnahmen funktionieren.
-Ob alle benötigten Angaben übertragen werden, lässt sich anhand dieses //Attribute Checks// überprüfen:
-https://perun.elixir-czech.cz/attribute-check/
-Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch [[de:shibidp:config-attributes-edupersontargetedid|Persistent NameID vs. eduPersonTargetedID]]):
-<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-<AttributeFilterPolicy id="elixir">
-   <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />
-   <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
-   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
-   <!-- nur wenn keine Persistent NameID üertragen wird -->
-   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
-</AttributeFilterPolicy>
-</file>
-{{tag>idp3}}