Dies ist eine alte Version des Dokuments!

Attribut-Konfiguration für e-Research SPs

Freigabe der wichtigsten Attribute für CLARIN-SPs

/opt/shibboleth-idp/conf/attribute-filter.xml
    <AttributeFilterPolicy id="releaseEverythingToClarin">
        <PolicyRequirementRule xsi:type="AND">
           <Rule xsi:type="EntityAttributeExactMatch"
                 attributeName="http://macedir.org/entity-category"
                 attributeValue="http://clarin.eu/category/clarin-member" />
           <!--
               wer sichergehen will, dass nur SPs bedient werden, die europäischen 
               Datenschutzrichtlinien genügen, nimmt noch den Code-of-Conduct dazu
               (https://doku.tid.dfn.de/de:geant_coco)
           -->
           <Rule xsi:type="EntityAttributeExactMatch"
                 attributeName="http://macedir.org/entity-category"
                 attributeValue="http://www.geant.net/uri/dataprotection-code-of-conduct/v1" />
        </PolicyRequirementRule>
 
        <AttributeRule attributeID="eduPersonAffiliation">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <!-- entweder eduPersonPrincipalName *oder* eduPersonTargetedID-->
        <AttributeRule attributeID="eduPersonPrincipalName">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <AttributeRule attributeID="eduPersonTargetedID">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <AttributeRule attributeID="sn">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <!-- einige SPs verlangen 'cn', andere 'displayName' -->
 
        <AttributeRule attributeID="cn">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <AttributeRule attributeID="displayName">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <AttributeRule attributeID="mail">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <!-- einige SPs verlangen 'o', andere 'schacHomeOrganization' -->
 
        <AttributeRule attributeID="o">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <AttributeRule attributeID="schacHomeOrganization">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
        <AttributeRule attributeID="schacHomeOrganizationType">
           <PermitValueRule xsi:type="AttributeInMetadata"/>
        </AttributeRule>
 
</AttributeFilterPolicy>

REFEDS Research and Scholarship Entity Category

/opt/shibboleth-idp/conf/attribute-filter.xml
<AttributeFilterPolicy id="releaseToRandS">
 
   <PolicyRequirementRule 
           xsi:type="EntityAttributeExactMatch"
           attributeName="http://macedir.org/entity-category"
           attributeValue="http://refeds.org/category/research-and-scholarship" />
 
   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
   <!-- Falls eduPersonPrincipalName neu vergeben wird, muss eduPersonTargetedID übertragen werden. -->
   <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
   <AttributeRule attributeID="eduPersonTargetedID"    permitAny="true" />
   <!-- entweder sn + givenName oder displayName -->
   <AttributeRule attributeID="givenName"              permitAny="true" />
   <AttributeRule attributeID="sn"                     permitAny="true" />
   <AttributeRule attributeID="displayName"            permitAny="true" />
   <AttributeRule attributeID="mail"                   permitAny="true" />
 
</AttributeFilterPolicy>

ELIXIR

ELIXIR ist eine Forschungsinfrastruktur für Daten aus dem Bereich Life Science (v.a. Genom-Datenbanken). Weiterführende Informationen finden sich auf der Homepage des Projekts unter http://www.elixir-europe.org/ und in dem hier verlinkten Anschreiben.

Der Zugang zu den ELIXIR Diensten erfolgt über einen SP Proxy (Entity ID: https://login.elixir-czech.org/proxy/), der über eduGAIN verfügbar ist.

Benötigte Attribute (+ NameID):

  • Persistent NameID / eduPersonPrincipalName / eduPersonTargetedID
  • eduPersonAffiliation / eduPersonScopedAffiliation (von besonderer Relevanz ist der Wert „faculty“)
  • schacHomeOrganization

Dieser Service Provider (und die dahinter liegenden Dienste) verpflichtet sich dem GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (siehe oben). Falls hierfür bereits eine Filter Policy nach dem angeführten Beispiel implementiert ist, sollte der Zugriff auf die ELIXIR Dienste ohne zusätzliche Maßnahmen funktionieren.

Ob alle benötigten Angaben übertragen werden, lässt sich anhand dieses Attribute Checks überprüfen:

https://perun.elixir-czech.cz/attribute-check/

Wenn Sie keine Filter Policy für Code-of-Conduct-SPs haben, richten Sie so eine dienstspezifische Attribute Filter Policy ein (siehe auch Persistent NameID vs. eduPersonTargetedID):

/opt/shibboleth-idp/conf/attribute-filter.xml
<AttributeFilterPolicy id="elixir">
   <PolicyRequirementRule xsi:type="Requester" value="https://login.elixir-czech.org/proxy/" />
   <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
   <!-- nur wenn keine Persistent NameID üertragen wird -->
   <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
</AttributeFilterPolicy>
  • Zuletzt geändert: vor 4 Jahren