This is an old revision of the document!
REFEDS Assurance Framework - Service Provider
First Steps and Requirements
Please read the specification!
If you have any questions, please contact the DFN-AAI Team.
Please perform a protection needs assessment for the resources protected by the service provider. On this basis, you decide which criteria of the REFEDS Assurance Framework are relevant for the respective Service Provider and on the basis of which values of the eduPersonAssurance attribute the authorization decision has to be made (for which also other factors are usually decisive).
Configuration Examples
Important Notes:
- The following configuration examples refer exclusively to Shibboleth Service Provider version 3.2.x
- These examples are intended as suggestions and should under no circumstances be adopted via copy + paste without reflection!
Metadata
- Laut Roadmap wird es ab 1.4.2022 keine nach Verlässlichkeitsklassen getrennten Metadatendateien mehr geben. Die Metadaten aller produktiven Identity Provider in der DFN-AAI sind unter https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml verfügbar. Die Beispiele unter Produktivbetrieb sind bereits entsprechend angepasst. Bis Jahresende 2022 ist nach wie vor eine Unterscheidung anhand eines Entity Attributs möglich. Ein Beispiel für einen entsprechenden Metadata Filter findet sich auf der Seite zur MDQ-Dokumentation.
- Um zu signalisieren, dass der Service Provider Verlässlichkeitsangaben benötigt und verarbeitet, die über das Attribut eduPersonAssurance transportiert werden, sollte in der Metadatenverwaltung unter Attribute Consuming Service das Attribut
eduPersonAssurancealsisRequired=truedeklariert werden.
Apache Access Rules
Das folgende Beispiel geht davon aus, dass ausschließlich Mitarbeitende (staff) bestimmter Einrichtungen, für die $PREFIX$/ID/unique, $PREFIX$/IAP/medium und $PREFIX$/ATP/ePA-1m gegeben sind, auf die vom Service Provider geschützte Ressource Zugriff erhalten sollen. Die Liste der zugriffsberechtigten Identity Provider bzw. Heimateinrichtungen wird über einen entsprechenden Metadata Filter festgelegt.
Hinweis: Das Attribut eduPersonAssurance wird in attribute-map.xml standardmäßig auf eine Variable namens assurance abgebildet, bei eduPersonAffiliation ist dies unscoped-affiliation.
- /etc/apache2/sites-enabled/sp.uni-beispiel.de.conf
<Location /protected> AuthType shibboleth ShibRequestSetting requireSession true <RequireAll> Require shib-attr unscoped-affiliation staff Require shib-attr assurance https://refeds.org/assurance/ID/unique Require shib-attr assurance https://refeds.org/assurance/IAP/medium Require shib-attr assurance https://refeds.org/assurance/ATP/ePA-1m </RequireAll> </Location>