Versions Compared

Old Version 8

changes.mady.by.user Peter Brand

Saved on

compared with

New Version Current

changes.mady.by.user Peter Brand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: rm redundant rant, provide better link for attributes an IDP should be able to produce

...

Auf https://ubook.at kann man zwar zur Zeit nichts tun, was eine Anmeldung über SAML erforderlich machte, aber mit der selben entityID wird auch das "u:book"-Diskussionsforum betrieben. Zur Anmeldung zu diesen zwei Services sind z.B. folgende Ergänzungen in der eigenen attribute-filter.xml Konfiguration nötig – aber nur, sofern diese Attribute noch nicht bereits schon über andere Regeln an diese entityID weitergegeben werden:

Code Block
languagehtml/xml
<AttributeFilterPolicy id="UbookHomepageUndForum">
  <PolicyRequirementRule xsi:type="Requester" value="https://www-vhosts.univie.ac.at/shibboleth" />
  <AttributeRule attributeID="givenName" permitAny="true" />
  <AttributeRule attributeID="surname" permitAny="true" />
  <AttributeRule attributeID="mail" permitAny="true" />
  <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
</AttributeFilterPolicy>
Note
titleInformation vom Betreiber fehlt
Welche Attribute das Service "u:book Homepage" tatsächlich zum Funktionieren braucht, war bisher vom Betreiber nicht in Erfahrung zu bringen. Obiges entspricht aber den erforderlichen Attributen einiger (aber nicht aller) anderen Services, die im Rahmen von "u:book" beworben werden, und scheint zumindest die Anmeldung dort ohne Fehlermeldung zu ermöglichen. Weiters sind dieselben Daten auch zur Nutzung des u:book-Diskussionsforums nötig, das mit der selben entityID betrieben wird und daher vom SAML Identity Provider ohnehin nicht unterschieden werden kann.
Hintergrund: Beide Websites werden im Webhosting-Bereich der Universität Wien betrieben (wie aus dem Namen und der Beschreibung dieser entity hervorgeht). Nicht alle Websites, die von dieser entity "abgedeckt" sind, haben etwas mit "u:book" zu tun. Mit einer gemeinsamen SAML Entity kann man aber nicht für unterschiedliche Websites jeweils passende Attributanforderungen formulieren. Daher beinhalten die SAML Metadaten zu dieser entityID keine RequestedAttribute-Elemente und damit können diese Services nicht ohne weitere Attributfreigabekonfiguration benutzt werden.
...
Hintergrund: Der Campus Store der Target Distribution GmbH folgt den "Best Current Practices" für Datenschutz und Datensparsamkeit (im Gegensatz zu praktischen allen Services, die im Rahmen von "u:book" angeboten werden, was aber auch an der Weiterentwicklung der "Best Practices" liegt), etwa durch freiwillige Übernahme des GÉANT Data Protection Code of Conduct. Weiters folgt der Campus Store auch unseren Empfehlungen an Service Provider, sich möglichst an den zweiten Teil von Postel's law zu halten: "be liberal in what you accept": Nicht alle eduID.at-Identity Provider können alle empfohlenen Attribute liefern und somit können in den SAML Metadaten dieses SAML Service Providers keine Attributanforderungen formuliert werden, die einerseits optimal den Datenschutz respektieren, aber gleichzeitig an allen Institutionen funktionieren werden.