Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:config-attributes-coco [2021/04/26 15:07] – idp3 tag entfernt Silke Meyer
+++ de:shibidp:config-attributes-coco [2023/11/16 16:15] (aktuell) – Wolfgang Pempe
@@ Zeile 1: / Zeile 1: @@
 ====== Attributfreigabe für Code-of-Conduct SPs ======
-(zur [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|Übersicht Attributfreigaben]])
+(zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht Attributfreigaben]])
+===== REFEDS Data Protection Code of Conduct (CoCo v.2) =====
+**Basiert auf der DSGVO**. Weitere Infos unter [[de:entity_attributes#refeds_data_protection_code_of_conduct|Entity Categories]] und https://refeds.org/category/code-of-conduct/v2.
+IdPs, die u.g. Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen!
+**NB:** Der Bedarf bezüglich einer pairwise-id oder subject-id muss SP-seitig über ein entsprechendes [[de:entity_attributes#spbenoetigte_subject_identifier_attribute|Entity Attribut]] signalisiert werden, siehe hierzu auch [[de:shibidp:config-attributes-subject_ids|diese Beispiele]].
+Hier ein Beispiel für die **Freigabe der subject-id/pairwise-id** (sofern angefordert) für SPs, die dem CoCo v.2 folgen:
+<file xml ./conf/attribute-filter.xml>
+    <AttributeFilterPolicy id="releaseSubjectId2coco">
+        <PolicyRequirementRule xsi:type="AND">
+             <Rule xsi:type="EntityAttributeExactMatch"
+                   attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
+                   attributeValue="subject-id" />
+             <Rule xsi:type="EntityAttributeExactMatch"
+                   attributeName="http://macedir.org/entity-category"
+                   attributeValue="https://refeds.org/category/code-of-conduct/v2" />
+        </PolicyRequirementRule>
+        <AttributeRule attributeID="samlSubjectID" permitAny="true"/>
+    </AttributeFilterPolicy>
+    <AttributeFilterPolicy id="releasePairwiseId2coco">
+        <PolicyRequirementRule xsi:type="AND">
+             <Rule xsi:type="OR">
+                <Rule xsi:type="EntityAttributeExactMatch"
+                      attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
+                      attributeValue="pairwise-id" />
+                <Rule xsi:type="EntityAttributeExactMatch"
+                      attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
+                      attributeValue="any" />
+             </Rule>
+             <Rule xsi:type="EntityAttributeExactMatch"
+                   attributeName="http://macedir.org/entity-category"
+                   attributeValue="https://refeds.org/category/code-of-conduct/v2" />
+        </PolicyRequirementRule>
+        <AttributeRule attributeID="samlPairwiseID" permitAny="true"/>
+    </AttributeFilterPolicy>
+</file>
+**Ausführliches Beispiel für eine Attribute Filter Policy, die für die allermeisten Anwendungsfälle passen sollte:**
+<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
+    <AttributeFilterPolicy id="releaseToCoCo2">
+       <PolicyRequirementRule
+               xsi:type="EntityAttributeExactMatch"
+               attributeName="http://macedir.org/entity-category"
+               attributeValue="https://refeds.org/category/code-of-conduct/v2" />
+       <AttributeRule attributeID="displayName">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="eduPersonScopedAffiliation">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="eduPersonAffiliation">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="mail">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="cn">
+         <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="givenName">
+         <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="sn">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="eduPersonPrincipalName">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="schacHomeOrganization">
+         <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="schacHomeOrganizationType">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+       <AttributeRule attributeID="o">
+          <PermitValueRule xsi:type="AttributeInMetadata"/>
+       </AttributeRule>
+</AttributeFilterPolicy>
+</file>
+\\
+===== GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) =====
    * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA", siehe auch unter [[de:entity_attributes#geant_data_protection_code_of_conduct|Entity Attributes/Categories]]
+   * Basiert auf der Datenschutzrichtlinie 95/46/EG von 1995, die 2018 von der EU Datenschutz-Grundverordnung (DSGVO) abgelöst wurde.
    * [[de:geant_coco|Kurze deutschsprachige Einführung]]
    * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]]
@@ Zeile 71: / Zeile 174: @@
 </file>
-{{tag>idp4 attributfreigabe coco}}
+{{tag>idp4 attributfreigabe coco filterregel filterpolicy}}

idp4 attributfreigabe coco filterregel filterpolicy