Seitenhistorie

...

Im Folgenden wird also die Nutzung der oben genannten drei Methoden für kontrollierte, skalierbare Datenweitergabe vorrausgesetzt.!

u:book-Homepage und u:book-Forum

...

<AttributeFilterPolicy id="UbookHomepageUndForum">
 <PolicyRequirementRule xsi:type="Requester" value="https://www-vhosts.univie.ac.at/shibboleth" />
  <AttributeRule attributeID="eduPersonScopedAffiliationgivenName">
   <PermitValueRule xsi:type permitAny="ANYtrue" />
 </AttributeRule>
 <AttributeRule attributeID="givenNamesurname">
   <PermitValueRule xsi:type permitAny="ANYtrue" />
 </AttributeRule>
 <AttributeRule attributeID="surnamemail">
   <PermitValueRule xsi:type permitAny="ANYtrue" />
 </AttributeRule>
 <AttributeRule attributeID="maileduPersonScopedAffiliation">
   <PermitValueRule xsi:type permitAny="ANYtrue" />
 </AttributeRule>
</AttributeFilterPolicy>

Hintergrund: Beide Websites werden im Webhosting-Bereich der Universität Wien betrieben (wie aus dem Namen und der Beschreibung dieser entity klar hervorgeht hervorgeht). Nicht alle Websites, die von dieser entity "abgedeckt" sind, haben etwas mit "u:book" zu tun. Mit einer gemeinsamen SAML Entity kann man aber nicht für unterschiedliche Websites jeweils passende Attributanforderungen formulieren. Daher nennen die SAML Metadaten zu dieser entityID keine RequestedAttribute-Elemente, und damit können diese Services nicht ohne weiteres Attributfreigabekonfiguration benutzt werden.

N.B.: Für zukünftige "u:book"-Aktionen soll hier eine eigene entityID zum Einsatz kommen, die spezifisch für "u:book"-Services an der Universität Wien ist, und diese kann dann wieder Attributanforderungen enthalten, womit manuelle Ergänzungen der eigenen Regeln Konfigiuration (wie diese hier) obsolet würden.

...

Um den Campus Store nutzen zu können, müssen mitunter ebenfalls lokale Ergänzungen der Attributfreigabe vorgenommen werden (sofern noch nicht geschehen), wie untenstehend im Detail erklärt wird. Die untenstehende Regel muß also der lokalen eigenen Serverkonfiguration angepasst werden.

...

Alle anderen müssen zumindest eines der folgenden Attribute freigeben. Die empfohlene Reihenfolge dazu lautet:

• eduPersonTargetedID, wenn . Wenn nicht vorhanden/implementiert dann:
• eduPersonUniqueId (TODO, muß mit dem Service Provider noch geklärt werden), wenn . Wenn nicht vorhanden/implementiert dann:
• eduPersonPrincipalName, oder:
• mail (E-mail-Adresse).

Zumindest eduPersonPrincipalName oder "mail" (E-Mail-Adresse) wird jeder Identity Provider verfügbar haben, "mail" wird auch von allen anderen Service Providern im Rahmen von "u:book" verlangt.

<AttributeFilterPolicy id="CampusStore">
 <PolicyRequirementRule xsi:type="Requester" value="https://www.campusstore.at/shibboleth" />
  <AttributeRule attributeID="eduPersonTargetedID">
   <PermitValueRule xsi:type permitAny="ANYtrue" />
 </AttributeRule>
</AttributeFilterPolicy>

Hintergrund: Der Campus Store der Target Distribution GmbH folgt den "Best Current Practices" für Datenschutz und Datensparsamkeit (im Gegensatz zu praktischen allen Services, die etwa im Rahmen von "u:book" angeboten werden, was aber auch an der Weiterentwicklung und Verbesserung der "Best Practices" liegt), etwa durch freiwillige Übernahme des GÉANT Data Protection Code of Conduct. Weiters folgt der Campus Store auch unseren Empfehlungen an Service Provider, sich möglichst an den zweiten Teil von Postel's law zu halten: "be liberal in what you accept": Nicht alle eduID.at-Identity Provider unterstützen können alle empfohlenen Attribute liefern, und somit können in den SAML Metadaten dieses Services SAML Service Providers keine allgemeinen Attributanforderungen formuliert werden, die einerseits optimal den Datenschutz respektieren, aber gleichzeitig an allen Institutionen funktionieren werden.