Hinweise zur Nutzung von Services, die im Rahmen von "u:book" angeboten werden. Alle Konfigurationsbeispiele beziehen sich auf die jeweils aktuelle Shibboleth IDP-Software.
Attributweitergaberegeln für "u:book"-Services
Wer der eduID.at-Dokumentation zu Attributfreigabe folgt und insb. die empfohlenen Freigaberegeln für Servicekategorien (REFEDS R&S, GÉANT CoCo) sowie für "ACOnet-registered services" übernommen hat, muß für Services im Rahmen von "u:book" nicht viel zusätzlich konfigurieren. Folgende zusätzliche Regeln zu diesen Empfehlungen sind zur Zeit nötig, da entsprechende Konfiguration nicht (überall) automatisiert werden kann, wie untenstehend jeweils erklärt wird.
ACOnet-registered services
Diese Regel wird (zähneknirschend) allen eduID.at Identity Providern empfohlen, da sie (fast) alle eduID.at Service Provider unmittelbar nutzbar macht. (Zähneknirschend deshalb, da damit eben nur Services abgedeckt sind, die vom ACOnet-Team selbst überprüft und registriert worden sind. Tausende weitere Services, die über Interfederation erreichbar sind, bleiben davon aber unberührt. Diese Regel ist also offensichtlich unzureichend und muß durch weitere ergänzt werden, insb. jene basierend auf Servicekategorien.)
Im Folgenden wird also die Nutzung der oben genannten drei Methoden für kontrollierte, skalierbare Datenweitergabe vorrausgesetzt!
u:book-Homepage und u:book-Forum
Auf https://ubook.at kann man zwar zur Zeit nichts tun, was eine Anmeldung über SAML erforderlich machte, aber mit der selben entityID wird auch das "u:book"-Diskussionsforum betrieben. Zur Anmeldung zu diesen zwei Services sind z.B. folgende Ergänzungen in der eigenen attribute-filter.xml
Konfiguration nötig – aber nur, sofern diese Attribute nicht bereits schon über andere Regeln an diese entityID weitergegeben werden:
<AttributeFilterPolicy id="UbookHomepageUndForum"> <PolicyRequirementRule xsi:type="Requester" value="https://www-vhosts.univie.ac.at/shibboleth" /> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="surname" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> </AttributeFilterPolicy>
Hintergrund: Beide Websites werden im Webhosting-Bereich der Universität Wien betrieben (wie aus dem Namen und der Beschreibung dieser entity hervorgeht). Nicht alle Websites, die von dieser entity "abgedeckt" sind, haben etwas mit "u:book" zu tun. Mit einer gemeinsamen SAML Entity kann man aber nicht für unterschiedliche Websites jeweils passende Attributanforderungen formulieren. Daher beinhalten die SAML Metadaten zu dieser entityID keine RequestedAttribute
-Elemente und damit können diese Services nicht ohne weitere Attributfreigabekonfiguration benutzt werden.
N.B.: Für zukünftige "u:book"-Aktionen soll hier angeblich eine eigene SAML entity zum Einsatz kommen, die spezifisch für "u:book"-Services an der Universität Wien ist. Diese könnte dann wieder Attributanforderungen enthalten, womit manuelle Ergänzungen der Konfiguration (wie diese hier) obsolet würden.
Campus Store a.k.a. "u:book Apple Shop"
Um den Campus Store nutzen zu können, müssen mitunter ebenfalls lokale Ergänzungen der Attributfreigaben vorgenommen werden (sofern noch nicht geschehen), wie folgend im Detail erklärt wird. Die untenstehende Regel muß also der eigenen Serverkonfiguration angepasst werden.
Identity Provider, die persistent NameIDs unterstützen und diese nur basierend auf SAML Metadaten (<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
) an den jeweiligen Service Provider weitergeben, brauchen überhaupt keine Attributfreigaberegeln für dieses Service!
Alle anderen müssen zumindest eines der folgenden Attribute freigeben. Die empfohlene Reihenfolge dazu lautet:
- eduPersonTargetedID. Wenn nicht vorhanden/implementiert dann:
- eduPersonUniqueId (muß mit dem Service Provider noch geklärt werden). Wenn nicht vorhanden/implementiert dann:
- eduPersonPrincipalName, oder:
- mail (E-mail-Adresse).
Zumindest eduPersonPrincipalName oder "mail" (E-Mail-Adresse) wird jeder Identity Provider verfügbar haben. Das "mail" Attribut wird auch von allen anderen Service Providern im Rahmen von "u:book" verlangt.
<AttributeFilterPolicy id="CampusStore"> <PolicyRequirementRule xsi:type="Requester" value="https://www.campusstore.at/shibboleth" /> <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> </AttributeFilterPolicy>
Hintergrund: Der Campus Store der Target Distribution GmbH folgt den "Best Current Practices" für Datenschutz und Datensparsamkeit (im Gegensatz zu praktischen allen Services, die im Rahmen von "u:book" angeboten werden, was aber auch an der Weiterentwicklung der "Best Practices" liegt), etwa durch freiwillige Übernahme des GÉANT Data Protection Code of Conduct. Weiters folgt der Campus Store auch unseren Empfehlungen an Service Provider, sich möglichst an den zweiten Teil von Postel's law zu halten: "be liberal in what you accept": Nicht alle eduID.at-Identity Provider können alle empfohlenen Attribute liefern und somit können in den SAML Metadaten dieses SAML Service Providers keine Attributanforderungen formuliert werden, die einerseits optimal den Datenschutz respektieren, aber gleichzeitig an allen Institutionen funktionieren werden.