Dies ist eine alte Version des Dokuments!
Attribut-Konfiguration für e-Research SPs
Freigabe der wichtigsten Attribute für CLARIN-SPs
- Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources
- Test-SP unter https://lindat.mff.cuni.cz/secure/
- Konfiguration der eduPersonTargetedID
- /opt/shibboleth-idp/conf/attribute-filter.xml
<AttributeFilterPolicy id="releaseEverythingToClarin"> <PolicyRequirementRule xsi:type="AND"> <Rule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="http://clarin.eu/category/clarin-member" /> <!-- wer sichergehen will, dass nur SPs bedient werden, die europäischen Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu (https://doku.tid.dfn.de/de:geant_coco) --> <Rule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" /> </PolicyRequirementRule> <AttributeRule attributeID="eduPersonAffiliation"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID--> <AttributeRule attributeID="eduPersonPrincipalName"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <AttributeRule attributeID="eduPersonTargetedID"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <AttributeRule attributeID="sn"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <!-- einige SPs verlangen 'cn', andere 'displayName' --> <AttributeRule attributeID="cn"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <AttributeRule attributeID="displayName"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <AttributeRule attributeID="mail"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' --> <AttributeRule attributeID="o"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <AttributeRule attributeID="schacHomeOrganization"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> <AttributeRule attributeID="schacHomeOrganizationType"> <PermitValueRule xsi:type="AttributeInMetadata"/> </AttributeRule> </AttributeFilterPolicy>
REFEDS Research and Scholarship Entity Category
- Dokumentation unter https://refeds.org/category/research-and-scholarship
- Zur Motivation siehe unter https://refeds.org/a/1154
- Zu Datenschutz-Aspekten siehe https://wiki.refeds.org/display/ENT/Guidance+on+justification+for+attribute+release+for+RandS
- IdPs, die diese Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen.
- Konfiguration der eduPersonTargetedID
- /opt/shibboleth-idp/conf/attribute-filter.xml
<AttributeFilterPolicy id="releaseToRandS"> <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="http://refeds.org/category/research-and-scholarship" /> <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. --> <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> <!-- entweder sn + givenName oder displayName --> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="sn" permitAny="true" /> <AttributeRule attributeID="displayName" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> </AttributeFilterPolicy>
ELIXIR
ELIXIR ist eine Forschungsinfrastruktur für Daten aus dem Bereich Life Science (v.a. Genom-Datenbanken). Weiterführende Informationen finden sich auf der Homepage des Projekts unter http://www.elixir-europe.org/ und in dem hier verlinkten Anschreiben.
Der Zugang zu den ELIXIR Diensten erfolgt über einen SP Proxy (Entity ID: https://login.elixir-czech.org/proxy/), der über eduGAIN verfügbar ist.
Benötigte Attribute (+ NameID):
- Persistent NameID / eduPersonPrincipalName / eduPersonTargetedID
- eduPersonAffiliation / eduPersonScopedAffiliation (von besonderer Relevanz ist der Wert „faculty“)
- schacHomeOrganization
Dieser Service Provider (und die dahinter liegenden Dienste) verpflichtet sich dem GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (siehe oben). Falls hierfür bereits eine Filter Policy nach dem angeführten Beispiel implementiert ist, sollte der Zugriff auf die ELIXIR Dienste ohne zusätzliche Maßnahmen funktionieren.
Ob alle benötigten Angaben übertragen werden, lässt sich anhand dieses Attribute Checks überprüfen:
https://perun.elixir-czech.cz/attribute-check/
Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch Persistent NameID vs. eduPersonTargetedID):
- /opt/shibboleth-idp/conf/attribute-filter.xml
<AttributeFilterPolicy id="elixir"> <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" /> <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/> <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> <!-- nur wenn keine Persistent NameID üertragen wird --> <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/> </AttributeFilterPolicy>