Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:config-consent-dsgvo [2022/02/08 08:49] Wolfgang Pempede:shibidp:config-consent-dsgvo [2024/01/22 16:14] (aktuell) – [Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls] Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls ====== ====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls ======
  
-<callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP 4.1.x">+<callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP ab Version 4.1">
 Für ältere Versionen des Shib IdP siehe [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|diese Seite]] Für ältere Versionen des Shib IdP siehe [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|diese Seite]]
 </callout> </callout>
  
-Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins. +Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins. 
  
 **Beachten Sie bitte, dass es sich hierbei um unverbindliche Vorschläge handelt! Der DFN-Verein übernimmt keine Verantwortung für etwaige juristische Streitfälle, die sich aus diesen Beispielen oder daraus abgeleiteten Konfigurationen ergeben!** **Beachten Sie bitte, dass es sich hierbei um unverbindliche Vorschläge handelt! Der DFN-Verein übernimmt keine Verantwortung für etwaige juristische Streitfälle, die sich aus diesen Beispielen oder daraus abgeleiteten Konfigurationen ergeben!**
  
 ==== Vorarbeiten ==== ==== Vorarbeiten ====
-Führen Sie zunächst die auf der Seite [[de:shibidp:config-tou|Aktivierung der Nutzungsbedingungen]] beschrieben Arbeitsschritte durch.+Führen Sie zunächst die auf der Seite [[de:shibidp:config-tou|Nutzungsbedingungen und Zustimmung zur Attributfreigabe]] beschrieben Arbeitsschritte durch.
  
 ==== Message Properties ==== ==== Message Properties ====
Zeile 50: Zeile 50:
  
 ==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ==== ==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ====
-Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/|69. DFN-Betriebstagung]]. +Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www2.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/|69. DFN-Betriebstagung]]. 
  
 Im folgenden werden diese Schlüsselbegriffe bzw. Kürzel verwendet, die auch im Consent Audit Log eingetragen werden: Im folgenden werden diese Schlüsselbegriffe bzw. Kürzel verwendet, die auch im Consent Audit Log eingetragen werden:
Zeile 67: Zeile 67:
 === IdP-Plugin installieren === === IdP-Plugin installieren ===
 Die Java-Klassen, die die IdP-seitige Unterscheidung der Rechtsgrundlagen anhand intern definierter Attribute ermöglichen, werden als Plugin installiert: Die Java-Klassen, die die IdP-seitige Unterscheidung der Rechtsgrundlagen anhand intern definierter Attribute ermöglichen, werden als Plugin installiert:
 +== bis IdP-Version 4.1.7 ==
 <code> <code>
 /opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz /opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz
-</code> +</code> 
 +== ab IdP-Version 4.2.0 == 
 +<code> 
 +/opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.1.0/fudis-shibboleth-idp-plugin-dsgvo-1.1.0.tar.gz 
 +</code>
  
 Dabei wird diese Datei angelegt: Dabei wird diese Datei angelegt:
Zeile 77: Zeile 82:
 #dsgvo.release_attribute=false #dsgvo.release_attribute=false
 </file> </file>
-Es wird empfohlen, mit den Voreinstellungen zu arbeiten. Sollte ''dsgvo.attribute_name'' geändert werden, muss der Name des Attributs auch in der Attribute Resolver Konfiguration (siehe unten) und in ''/views/intercept/attribute-release.vm'' angepasst werden.+Es wird empfohlen, mit den Voreinstellungen zu arbeiten. Sollte ''dsgvo.attribute_name'' geändert werden, muss der Name des Attributs auch in der Attribute Filter und Resolver Konfiguration (siehe unten) und in ''/views/intercept/attribute-release.vm'' angepasst werden.
  
 Erweiterung des Log-Formats um das Kürzel für die Rechtsgrundlage:  Erweiterung des Log-Formats um das Kürzel für die Rechtsgrundlage: 
Zeile 85: Zeile 90:
  
 **Herzlichen Dank hierfür an Steffen Hofmann! (FU Berlin)** **Herzlichen Dank hierfür an Steffen Hofmann! (FU Berlin)**
 +
 +\\
 +
 +=== Anpassungen der Attribute Filter Konfiguration ===
 +Damit das o.g. Attribut ins User Consent Modul gelangt, muss eine entsprechende Attribute Filter Policy konfiguriert werden. Ob das gewählte Attribut tatsächlich an einen SP übertragen wird, lässt sich über die o.g. Property ''dsgvo.release_attribute'' steuern.
 +
 +<file xml ./conf/attribute-filter.xml>
 +
 +   <AttributeFilterPolicy id="ReleaseAttributeReleaseType">
 +        <PolicyRequirementRule xsi:type="ANY" />
 +        <AttributeRule attributeID="dfnEduPersonAttributeReleaseType" permitAny="true" />
 +   </AttributeFilterPolicy>
 +
 +</file>
  
 \\ \\
  • Zuletzt geändert: vor 2 Jahren