Hinweise zur Nutzung von Services, die im Rahmen von "u:book" angeboten werden. Alle Konfigurationsbeispiele beziehen sich auf die jeweils aktuelle Shibboleth IDP v3.x Software.
Attributweitergaberegeln für "u:book"-Services
Wer der eduID.at-Dokumentation zu Attributfreigabe folgt und insb. die empfohlenen Freigaberegeln für Servicekategorien (REFEDS R&S, GÉANT CoCo) sowie für "ACOnet-registered services" übernommen hat, muß für Services im Rahmen von "u:book" nicht viel zusätzlich konfigurieren. Folgende zusätzliche Regeln zu diesen Empfehlungen sind zur Zeit nötig, da entsprechende Konfiguration nicht (überall) automatisiert werden kann, wie untenstehend jeweils erklärt wird.
ACOnet-registered services
Diese Regel wird (zähneknirschend) allen eduID.at Identity Providern empfohlen, da sie (fast) alle eduID.at Service Provider unmittelbar nutzbar macht. (Zähneknirschend deshalb, da damit eben nur Services abgedeckt sind, die vom ACOnet-Team selbst überprüft und registriert worden sind. Tausende weitere Services, die über Interfederation erreichbar sind, bleiben davon aber unberührt. Diese Regel ist also offensichtlich unzureichend und muß durch weitere ergänzt werden, insb. jene basierend auf Servicekategorien).
Im Folgenden wird also die Nutzung der oben genannten drei Methoden für kontrollierte, skalierbare Datenweitergabe vorrausgesetzt!
u:book-Homepage und u:book-Forum
Auf https://ubook.at kann man zwar zur Zeit nichts tun, was eine Anmeldung über SAML erforderlich machte, dennoch wird dies vom Betreiber empfohlen. Weiters wird mit der selben entityID auch das "u:book"-Diskussionsforum betrieben. Zur Anmeldung zu diesen zwei Services sind z.B. folgende Ergänzungen in der eigenen attribute-filter.xml Konfiguration nötig – aber nur, sofern vergleichbare Attribute noch nicht an diese spezifische entityID weitergegeben werden:
<AttributeFilterPolicy id="UbookHomepageUndForum"> <PolicyRequirementRule xsi:type="Requester" value="https://www-vhosts.univie.ac.at/shibboleth" /> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="surname" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> </AttributeFilterPolicy>
Information vom Betreiber fehlt
Welche Attribute das Service "u:book Homepage" tatsächlich zum Funktionieren braucht, war bisher vom Betreiber nicht in Erfahrung zu bringen. Obiges entspricht aber den erforderlichen Attributen einiger (aber nicht aller) anderen Services, die im Rahmen von "u:book" beworben werden, und scheint zumindest die Anmeldung dort ohne Fehlermeldung zu ermöglichen. Weiters sind dieselben Daten auch zur Nutzung des u:book-Diskussionsforums nötig, das mit der selben entityID betrieben wird, und daher vom SAML Identity Provider ohnehin nicht unterschieden werden kann.
Hintergrund: Beide Websites werden im Webhosting-Bereich der Universität Wien betrieben (wie aus dem Namen und der Beschreibung dieser entity hervorgeht). Nicht alle Websites, die von dieser entity "abgedeckt" sind, haben etwas mit "u:book" zu tun. Mit einer gemeinsamen SAML Entity kann man aber nicht für unterschiedliche Websites jeweils passende Attributanforderungen formulieren. Daher nennen die SAML Metadaten zu dieser entityID keine RequestedAttribute-Elemente, und damit können diese Services nicht ohne weiteres Attributfreigabekonfiguration benutzt werden.
N.B.: Für zukünftige "u:book"-Aktionen soll hier eine eigene entityID zum Einsatz kommen, die spezifisch für "u:book"-Services an der Universität Wien ist, und diese kann dann wieder Attributanforderungen enthalten, womit manuelle Ergänzungen der Konfigiuration (wie diese hier) obsolet würden.
Campus Store a.k.a. "u:book Apple Shop"
Um den Campus Store nutzen zu können, müssen mitunter ebenfalls lokale Ergänzungen der Attributfreigabe vorgenommen werden (sofern noch nicht geschehen), wie untenstehend im Detail erklärt wird. Die untenstehende Regel muß also der eigenen Serverkonfiguration angepasst werden.
Identity Provider, die persistent NameIDs unterstützen, und diese nur basierend auf SAML Metadaten (<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>) an den jeweiligen Service Provider weitergeben, brauchen überhaupt keine Attributfreigaberegeln für dieses Service!
Alle anderen müssen zumindest eines der folgenden Attribute freigeben. Die empfohlene Reihenfolge dazu lautet:
- eduPersonTargetedID. Wenn nicht vorhanden/implementiert dann:
- eduPersonUniqueId (TODO, muß mit dem Service Provider noch geklärt werden). Wenn nicht vorhanden/implementiert dann:
- eduPersonPrincipalName, oder:
- mail (E-mail-Adresse).
Zumindest eduPersonPrincipalName oder "mail" (E-Mail-Adresse) wird jeder Identity Provider verfügbar haben, "mail" wird auch von allen anderen Service Providern im Rahmen von "u:book" verlangt.
<AttributeFilterPolicy id="CampusStore"> <PolicyRequirementRule xsi:type="Requester" value="https://www.campusstore.at/shibboleth" /> <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> </AttributeFilterPolicy>
Hintergrund: Der Campus Store der Target Distribution GmbH folgt den "Best Current Practices" für Datenschutz und Datensparsamkeit (im Gegensatz zu praktischen allen Services, die im Rahmen von "u:book" angeboten werden, was aber auch an der Weiterentwicklung der "Best Practices" liegt), etwa durch freiwillige Übernahme des GÉANT Data Protection Code of Conduct. Weiters folgt der Campus Store auch unseren Empfehlungen an Service Provider, sich möglichst an den zweiten Teil von Postel's law zu halten: "be liberal in what you accept": Nicht alle eduID.at-Identity Provider können alle empfohlenen Attribute liefern, und somit können in den SAML Metadaten dieses SAML Service Providers keine allgemeinen Attributanforderungen formuliert werden, die einerseits optimal den Datenschutz respektieren, aber gleichzeitig an allen Institutionen funktionieren werden.
Overview
Content Tools
Tasks