Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:shibidp:config-consent-dsgvo [2022/05/02 14:21] – Wolfgang Pempe | de:shibidp:config-consent-dsgvo [2024/07/17 11:30] (aktuell) – [Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen] hofmann@fu-berlin.de |
---|
====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls ====== | ====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls ====== |
| |
<callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP 4.1.x"> | <callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP ab Version 4.1"> |
Für ältere Versionen des Shib IdP siehe [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|diese Seite]] | Für ältere Versionen des Shib IdP siehe [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|diese Seite]] |
</callout> | </callout> |
| |
Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins. | Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins. |
| |
**Beachten Sie bitte, dass es sich hierbei um unverbindliche Vorschläge handelt! Der DFN-Verein übernimmt keine Verantwortung für etwaige juristische Streitfälle, die sich aus diesen Beispielen oder daraus abgeleiteten Konfigurationen ergeben!** | **Beachten Sie bitte, dass es sich hierbei um unverbindliche Vorschläge handelt! Der DFN-Verein übernimmt keine Verantwortung für etwaige juristische Streitfälle, die sich aus diesen Beispielen oder daraus abgeleiteten Konfigurationen ergeben!** |
| |
==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ==== | ==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ==== |
Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www2.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/|69. DFN-Betriebstagung]]. | Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der 69. DFN-Betriebstagung. |
| |
Im folgenden werden diese Schlüsselbegriffe bzw. Kürzel verwendet, die auch im Consent Audit Log eingetragen werden: | Im folgenden werden diese Schlüsselbegriffe bzw. Kürzel verwendet, die auch im Consent Audit Log eingetragen werden: |
=== IdP-Plugin installieren === | === IdP-Plugin installieren === |
Die Java-Klassen, die die IdP-seitige Unterscheidung der Rechtsgrundlagen anhand intern definierter Attribute ermöglichen, werden als Plugin installiert: | Die Java-Klassen, die die IdP-seitige Unterscheidung der Rechtsgrundlagen anhand intern definierter Attribute ermöglichen, werden als Plugin installiert: |
| == bis IdP-Version 4.1.7 == |
<code> | <code> |
/opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz | %{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz |
</code> | </code> |
| == ab IdP-Version 4.2.0 == |
| <code> |
| %{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.1.0/fudis-shibboleth-idp-plugin-dsgvo-1.1.0.tar.gz |
| </code> |
| == ab IdP-Version 5.0.0 == |
| <code> |
| %{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/current/fudis-shibboleth-idp-plugin-dsgvo-current.tar.gz |
| </code> |
| |
Dabei wird diese Datei angelegt: | Dabei wird diese Datei angelegt: |