| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:shibidp:config-consent-dsgvo [2022/02/08 10:27] – Wolfgang Pempe | de:shibidp:config-consent-dsgvo [2024/01/22 16:14] (aktuell) – [Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls] Wolfgang Pempe |
|---|
| ====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls ====== | ====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls ====== |
| |
| <callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP 4.1.x"> | <callout color="#ff9900" title="Dokumentation gültig für Shibboleth IdP ab Version 4.1"> |
| Für ältere Versionen des Shib IdP siehe [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|diese Seite]] | Für ältere Versionen des Shib IdP siehe [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x|diese Seite]] |
| </callout> | </callout> |
| |
| Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins. | Die im folgenden dokumentierte Beispielkonfiguration beruht sowohl auf den Vorschlägen der Forschungsstelle Recht im DFN, [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens", 69. BT]] als auch auf hausinternen Konsultationen mit dem Justiziariat des DFN-Vereins. |
| |
| **Beachten Sie bitte, dass es sich hierbei um unverbindliche Vorschläge handelt! Der DFN-Verein übernimmt keine Verantwortung für etwaige juristische Streitfälle, die sich aus diesen Beispielen oder daraus abgeleiteten Konfigurationen ergeben!** | **Beachten Sie bitte, dass es sich hierbei um unverbindliche Vorschläge handelt! Der DFN-Verein übernimmt keine Verantwortung für etwaige juristische Streitfälle, die sich aus diesen Beispielen oder daraus abgeleiteten Konfigurationen ergeben!** |
| |
| ==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ==== | ==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ==== |
| Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/|69. DFN-Betriebstagung]]. | Wenn die Übertragung von Attributen fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es weiterer IdP-seitiger Anpassungen, die je nach anfragendem SP und ggf. Nutzergruppe die Nutzenden über die jeweilige Rechtsgrundlage informieren und auch beim Schreiben ins Consent Audit Log (''./logs/idp-consent-audit.log'') die entsprechende Unterscheidung vornehmen. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www2.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/|69. DFN-Betriebstagung]]. |
| |
| Im folgenden werden diese Schlüsselbegriffe bzw. Kürzel verwendet, die auch im Consent Audit Log eingetragen werden: | Im folgenden werden diese Schlüsselbegriffe bzw. Kürzel verwendet, die auch im Consent Audit Log eingetragen werden: |
| === IdP-Plugin installieren === | === IdP-Plugin installieren === |
| Die Java-Klassen, die die IdP-seitige Unterscheidung der Rechtsgrundlagen anhand intern definierter Attribute ermöglichen, werden als Plugin installiert: | Die Java-Klassen, die die IdP-seitige Unterscheidung der Rechtsgrundlagen anhand intern definierter Attribute ermöglichen, werden als Plugin installiert: |
| | == bis IdP-Version 4.1.7 == |
| <code> | <code> |
| /opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz | /opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.0.0/fudis-shibboleth-idp-plugin-dsgvo-1.0.0.tar.gz |
| </code> | </code> |
| | == ab IdP-Version 4.2.0 == |
| | <code> |
| | /opt/shibboleth-idp/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/1.1.0/fudis-shibboleth-idp-plugin-dsgvo-1.1.0.tar.gz |
| | </code> |
| |
| Dabei wird diese Datei angelegt: | Dabei wird diese Datei angelegt: |
| #dsgvo.release_attribute=false | #dsgvo.release_attribute=false |
| </file> | </file> |
| Es wird empfohlen, mit den Voreinstellungen zu arbeiten. Sollte ''dsgvo.attribute_name'' geändert werden, muss der Name des Attributs auch in der Attribute Resolver Konfiguration (siehe unten) und in ''/views/intercept/attribute-release.vm'' angepasst werden. | Es wird empfohlen, mit den Voreinstellungen zu arbeiten. Sollte ''dsgvo.attribute_name'' geändert werden, muss der Name des Attributs auch in der Attribute Filter und Resolver Konfiguration (siehe unten) und in ''/views/intercept/attribute-release.vm'' angepasst werden. |
| |
| Erweiterung des Log-Formats um das Kürzel für die Rechtsgrundlage: | Erweiterung des Log-Formats um das Kürzel für die Rechtsgrundlage: |