REFEDS Assurance Framework - Service Provider

(general information on identity assurance)

Please read the specification!
If you have any questions, please contact the DFN-AAI Team.

Please perform a protection needs assessment for the resources protected by the service provider. On this basis, you decide which criteria of the REFEDS Assurance Framework are relevant for the respective Service Provider and on the basis of which values of the eduPersonAssurance attribute the authorization decision has to be made (for which also other factors are usually decisive).

Important Notes:

• The following configuration examples refer exclusively to Shibboleth Service Provider version 3.2.x
• These examples are intended as suggestions and should under no circumstances be adopted via copy + paste without reflection!

• Laut Roadmap wird es ab 1.4.2022 keine nach Verlässlichkeitsklassen getrennten Metadatendateien mehr geben. Die Metadaten aller produktiven Identity Provider in der DFN-AAI sind unter https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml verfügbar. Die Beispiele unter Produktivbetrieb sind bereits entsprechend angepasst. Bis Jahresende 2022 ist nach wie vor eine Unterscheidung anhand eines Entity Attributs möglich. Ein Beispiel für einen entsprechenden Metadata Filter findet sich auf der Seite zur MDQ-Dokumentation.
• Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut eduPersonAssurance transportiert werden, sollte in der Metadatenverwaltung unter Attribute Consuming Service das Attribut eduPersonAssurance als isRequired=true deklariert werden.

Das folgende Beispiel geht davon aus, dass ausschließlich Mitarbeitende (staff) bestimmter Einrichtungen, für die $PREFIX$/ID/unique, $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m gegeben sind, auf die vom Service Provider geschützte Ressource Zugriff erhalten sollen. Die Liste der zugriffsberechtigten Identity Provider bzw. Heimateinrichtungen wird über einen entsprechenden Metadata Filter festgelegt.
Hinweis: Das Attribut eduPersonAssurance wird in attribute-map.xml standardmäßig auf eine Variable namens assurance abgebildet, bei eduPersonAffiliation ist dies unscoped-affiliation.

/etc/apache2/sites-enabled/sp.uni-beispiel.de.conf

<Location /protected>
   AuthType shibboleth
   ShibRequestSetting requireSession true
   <RequireAll>
      Require shib-attr unscoped-affiliation staff
      Require shib-attr assurance https://refeds.org/assurance/ID/unique
      Require shib-attr assurance https://refeds.org/assurance/IAP/medium
      Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m
    </RequireAll>
</Location>

• Comparison Guide to Identity Assurance Mappings for Infrastructures
• Making Identity Assurance and Authentication Strength Work for Federated Infrastructures