Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:config-consent-dsgvo [2022/02/08 08:50] – [Vorarbeiten] Wolfgang Pempe
+++ de:shibidp:config-consent-dsgvo [2024/07/17 11:30] (aktuell) – [Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen] hofmann@fu-berlin.de
@@ Zeile 1: / Zeile 1: @@
 ====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls ======
-<callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP 4.1.x">
+<callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP ab Version 4.1">
 Für ältere Versionen des Shib IdP siehe [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|diese Seite]]
 </callout>
-Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins.
+Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins.
 **Beachten Sie bitte, dass es sich hierbei um unverbindliche Vorschläge handelt! Der DFN-Verein übernimmt keine Verantwortung für etwaige juristische Streitfälle, die sich aus diesen Beispielen oder daraus abgeleiteten Konfigurationen ergeben!**
@@ Zeile 50: / Zeile 50: @@
 ==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ====
-Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/|69. DFN-Betriebstagung]].
+Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der 69. DFN-Betriebstagung.
 Im folgenden werden diese Schlüsselbegriffe bzw. Kürzel verwendet, die auch im Consent Audit Log eingetragen werden:
@@ Zeile 67: / Zeile 67: @@
 === IdP-Plugin installieren ===
 Die Java-Klassen, die die IdP-seitige Unterscheidung der Rechtsgrundlagen anhand intern definierter Attribute ermöglichen, werden als Plugin installiert:
+== bis IdP-Version 4.1.7 ==
 <code>
-/opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz
+%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz
 </code>
+== ab IdP-Version 4.2.0 ==
+<code>
+%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.1.0/fudis-shibboleth-idp-plugin-dsgvo-1.1.0.tar.gz
+</code>
+== ab IdP-Version 5.0.0 ==
+<code>
+%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/current/fudis-shibboleth-idp-plugin-dsgvo-current.tar.gz
+</code>
 Dabei wird diese Datei angelegt:
@@ Zeile 77: / Zeile 86: @@
 #dsgvo.release_attribute=false
 </file>
-Es wird empfohlen, mit den Voreinstellungen zu arbeiten. Sollte ''dsgvo.attribute_name'' geändert werden, muss der Name des Attributs auch in der Attribute Resolver Konfiguration (siehe unten) und in ''/views/intercept/attribute-release.vm'' angepasst werden.
+Es wird empfohlen, mit den Voreinstellungen zu arbeiten. Sollte ''dsgvo.attribute_name'' geändert werden, muss der Name des Attributs auch in der Attribute Filter und Resolver Konfiguration (siehe unten) und in ''/views/intercept/attribute-release.vm'' angepasst werden.
 Erweiterung des Log-Formats um das Kürzel für die Rechtsgrundlage:
@@ Zeile 85: / Zeile 94: @@
 **Herzlichen Dank hierfür an Steffen Hofmann! (FU Berlin)**
+\\
+=== Anpassungen der Attribute Filter Konfiguration ===
+Damit das o.g. Attribut ins User Consent Modul gelangt, muss eine entsprechende Attribute Filter Policy konfiguriert werden. Ob das gewählte Attribut tatsächlich an einen SP übertragen wird, lässt sich über die o.g. Property ''dsgvo.release_attribute'' steuern.
+<file xml ./conf/attribute-filter.xml>
+   <AttributeFilterPolicy id="ReleaseAttributeReleaseType">
+        <PolicyRequirementRule xsi:type="ANY" />
+        <AttributeRule attributeID="dfnEduPersonAttributeReleaseType" permitAny="true" />
+   </AttributeFilterPolicy>
+</file>
 \\