Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:shibidp:config-attributes-coco [2023/03/06 15:44] – mehr Tags hinzugefügt Silke Meyer | de:shibidp:config-attributes-coco [2023/11/16 16:15] (aktuell) – Wolfgang Pempe |
---|
====== Attributfreigabe für Code-of-Conduct SPs ====== | ====== Attributfreigabe für Code-of-Conduct SPs ====== |
(zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht Attributfreigaben]]) | (zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht Attributfreigaben]]) |
| |
| ===== REFEDS Data Protection Code of Conduct (CoCo v.2) ===== |
| |
| **Basiert auf der DSGVO**. Weitere Infos unter [[de:entity_attributes#refeds_data_protection_code_of_conduct|Entity Categories]] und https://refeds.org/category/code-of-conduct/v2. |
| |
| IdPs, die u.g. Filter Policy implementiert haben, sollten in der Metadatenverwaltung den entsprechenden Entity Category Support setzen! |
| |
| **NB:** Der Bedarf bezüglich einer pairwise-id oder subject-id muss SP-seitig über ein entsprechendes [[de:entity_attributes#spbenoetigte_subject_identifier_attribute|Entity Attribut]] signalisiert werden, siehe hierzu auch [[de:shibidp:config-attributes-subject_ids|diese Beispiele]]. |
| |
| Hier ein Beispiel für die **Freigabe der subject-id/pairwise-id** (sofern angefordert) für SPs, die dem CoCo v.2 folgen: |
| |
| <file xml ./conf/attribute-filter.xml> |
| <AttributeFilterPolicy id="releaseSubjectId2coco"> |
| <PolicyRequirementRule xsi:type="AND"> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| attributeValue="subject-id" /> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="http://macedir.org/entity-category" |
| attributeValue="https://refeds.org/category/code-of-conduct/v2" /> |
| </PolicyRequirementRule> |
| <AttributeRule attributeID="samlSubjectID" permitAny="true"/> |
| </AttributeFilterPolicy> |
| |
| <AttributeFilterPolicy id="releasePairwiseId2coco"> |
| <PolicyRequirementRule xsi:type="AND"> |
| <Rule xsi:type="OR"> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| attributeValue="pairwise-id" /> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| attributeValue="any" /> |
| </Rule> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="http://macedir.org/entity-category" |
| attributeValue="https://refeds.org/category/code-of-conduct/v2" /> |
| </PolicyRequirementRule> |
| <AttributeRule attributeID="samlPairwiseID" permitAny="true"/> |
| </AttributeFilterPolicy> |
| </file> |
| |
| **Ausführliches Beispiel für eine Attribute Filter Policy, die für die allermeisten Anwendungsfälle passen sollte:** |
| |
| <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| <AttributeFilterPolicy id="releaseToCoCo2"> |
| |
| <PolicyRequirementRule |
| xsi:type="EntityAttributeExactMatch" |
| attributeName="http://macedir.org/entity-category" |
| attributeValue="https://refeds.org/category/code-of-conduct/v2" /> |
| |
| <AttributeRule attributeID="displayName"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="eduPersonScopedAffiliation"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="eduPersonAffiliation"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="mail"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="cn"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="givenName"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="sn"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="eduPersonPrincipalName"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="schacHomeOrganization"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="schacHomeOrganizationType"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| <AttributeRule attributeID="o"> |
| <PermitValueRule xsi:type="AttributeInMetadata"/> |
| </AttributeRule> |
| |
| </AttributeFilterPolicy> |
| </file> |
| |
| \\ |
| |
| ===== GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo v.1) ===== |
| |
* Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA", siehe auch unter [[de:entity_attributes#geant_data_protection_code_of_conduct|Entity Attributes/Categories]] | * Offizielle Bezeichnung: "GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA", siehe auch unter [[de:entity_attributes#geant_data_protection_code_of_conduct|Entity Attributes/Categories]] |
| * Basiert auf der Datenschutzrichtlinie 95/46/EG von 1995, die 2018 von der EU Datenschutz-Grundverordnung (DSGVO) abgelöst wurde. |
* [[de:geant_coco|Kurze deutschsprachige Einführung]] | * [[de:geant_coco|Kurze deutschsprachige Einführung]] |
* Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] | * Dokumentation im [[https://wiki.geant.org/display/eduGAIN/Data+Protection+Code+of+Conduct+Cookbook|GÉANT Wiki]] |