| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:shibidp:config-attributes-coco [2022/03/10 10:57] – Wolfgang Pempe | de:shibidp:config-attributes-coco [2023/11/16 16:15] (aktuell) – Wolfgang Pempe |
|---|
| ====== Attributfreigabe für Code-of-Conduct SPs ====== | ====== Attributfreigabe für Code-of-Conduct SPs ====== |
| (zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht Attributfreigaben]]) | (zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht Attributfreigaben]]) |
| | |
| | ===== REFEDS Data Protection Code of Conduct (CoCo v.2) ===== |
| | |
| | **Basiert auf der DSGVO**. Weitere Infos unter [[de:entity_attributes#refeds_data_protection_code_of_conduct|Entity Categories]] und https://refeds.org/category/code-of-conduct/v2. |
| | |
| | IdPs, die u.g. Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen! |
| | |
| | **NB:** Der Bedarf bezüglich einer pairwise-id oder subject-id muss SP-seitig über ein entsprechendes [[de:entity_attributes#spbenoetigte_subject_identifier_attribute|Entity Attribut]] signalisiert werden, siehe hierzu auch [[de:shibidp:config-attributes-subject_ids|diese Beispiele]]. |
| | |
| | Hier ein Beispiel für die **Freigabe der subject-id/pairwise-id** (sofern angefordert) für SPs, die dem CoCo v.2 folgen: |
| | |
| | <file xml ./conf/attribute-filter.xml> |
| | <AttributeFilterPolicy id="releaseSubjectId2coco"> |
| | <PolicyRequirementRule xsi:type="AND"> |
| | <Rule xsi:type="EntityAttributeExactMatch" |
| | attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| | attributeValue="subject-id" /> |
| | <Rule xsi:type="EntityAttributeExactMatch" |
| | attributeName="http://macedir.org/entity-category" |
| | attributeValue="https://refeds.org/category/code-of-conduct/v2" /> |
| | </PolicyRequirementRule> |
| | <AttributeRule attributeID="samlSubjectID" permitAny="true"/> |
| | </AttributeFilterPolicy> |
| | |
| | <AttributeFilterPolicy id="releasePairwiseId2coco"> |
| | <PolicyRequirementRule xsi:type="AND"> |
| | <Rule xsi:type="OR"> |
| | <Rule xsi:type="EntityAttributeExactMatch" |
| | attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| | attributeValue="pairwise-id" /> |
| | <Rule xsi:type="EntityAttributeExactMatch" |
| | attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| | attributeValue="any" /> |
| | </Rule> |
| | <Rule xsi:type="EntityAttributeExactMatch" |
| | attributeName="http://macedir.org/entity-category" |
| | attributeValue="https://refeds.org/category/code-of-conduct/v2" /> |
| | </PolicyRequirementRule> |
| | <AttributeRule attributeID="samlPairwiseID" permitAny="true"/> |
| | </AttributeFilterPolicy> |
| | </file> |
| | |
| | **Ausführliches Beispiel für eine Attribute Filter Policy, die für die allermeisten Anwendungsfälle passen sollte:** |
| | |
| | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| | <AttributeFilterPolicy id="releaseToCoCo2"> |
| | |
| | <PolicyRequirementRule |
| | xsi:type="EntityAttributeExactMatch" |
| | attributeName="http://macedir.org/entity-category" |
| | attributeValue="https://refeds.org/category/code-of-conduct/v2" /> |
| | |
| | <AttributeRule attributeID="displayName"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="eduPersonScopedAffiliation"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="eduPersonAffiliation"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="mail"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="cn"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="givenName"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="sn"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="eduPersonPrincipalName"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="schacHomeOrganization"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="schacHomeOrganizationType"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="o"> |
| | <PermitValueRule xsi:type="AttributeInMetadata"/> |
| | </AttributeRule> |
| | |
| | </AttributeFilterPolicy> |
| | </file> |
| | |
| | \\ |
| | |
| | ===== GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) ===== |
| |
| * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA", siehe auch unter [[de:entity_attributes#geant_data_protection_code_of_conduct|Entity Attributes/Categories]] | * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA", siehe auch unter [[de:entity_attributes#geant_data_protection_code_of_conduct|Entity Attributes/Categories]] |
| | * Basiert auf der Datenschutzrichtlinie 95/46/EG von 1995, die 2018 von der EU Datenschutz-Grundverordnung (DSGVO) abgelöst wurde. |
| * [[de:geant_coco|Kurze deutschsprachige Einführung]] | * [[de:geant_coco|Kurze deutschsprachige Einführung]] |
| * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] | * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] |
| </file> | </file> |
| |
| {{tag>idp4 attributfreigabe coco}} | {{tag>idp4 attributfreigabe coco filterregel filterpolicy}} |