====== Activation Conditions ======
Dieser Artikel ist ein Community-Beitrag für Shibboleth IdP 3.x. Es ist unklar, ob er für Shibboleth IdP 4.x so noch gilt.
**Was ist das:**\\
Bedingungen an Hand derer man verschiedene Aktionen und Abläufe am IdP beeinflussen bzw. steuern kann.
**Beispiele für Anwendungsszenarien:**\\
* Vermeidung unnötiger LDAP-Abfragen / Einschränkung Attribute-Resolver\\
* Freigabe von Attributen an bestimmte Verlässlichkeitsklassen / Föderationen\\
* Filterung von Attributen je nach SP
In das Installationsverzeichnis wechseln.\\
Neue Config-File samt Conditions anlegen.
https://your.sp.de/shibboleth
https://testsp2.aai.dfn.de/shibboleth
https://www.aai.dfn.de/DFN-AAI-Basic
# Die Angabe einer ActivationCondition führt hier leider nicht dazu, dass die LDAP-Abfragen nur gestellt werden, wenn der SP in der Condition steht
# Sondern:
# - Das Attribut wird nämlich erst gebaut (LDAP-Abfrage) und erst danach greift die Condition und regelt die Weitergabe des Attributs an die Filter
# - Die Condition MUSS daher auch an die groupLDAP-Dependency (DataConnector) gehangen werden, um die Ausführung der LDAP-Anfragen zu steuern
#
https://your.other.sp.de/shibboleth
Config-File überall einbinden, wo Conditions genutzt werden sollen.
...
%{idp.home}/conf/activation-conditions.xml
...
%{idp.home}/conf/activation-conditions.xml
Aktivierung der Conditions.
Gruppe
Group
Name der Gruppe zu der der Nutzer gehört
Name of group with which the person is associated
Gruppe
Group
Name der Gruppe zu der der Nutzer gehört
Name of group with which the person is associated
# Gruppen werden so definiert, dass Sie ein oder mehrere Entitlements erhalten, die Aussage darüber geben an welchen SP diese gerichtet sind
#
# student, groups, tu-dresden.de
# dn: cn=student,ou=groups,dc=tu-dresden,dc=de
# objectClass: top
# objectClass: posixGroup
# objectClass: eduPerson
# cn: student
# gidNumber: 345
# memberUid: stud
# eduPersonEntitlement: https://your.other.sp.de/shibboleth
#
# Bei dem beschriebenen Vorgehen werden nur die Gruppen aus LDAP heraus gesucht, in denen der Nutzer Mitglied ist und die für den SP bestimmt sind
# Damit ist sichergestellt, dass nicht alle SPs alle Gruppen erhalten
# Dabei soll zusätzlich gewährleistet sein, dass LDAP nur dann nach Gruppen gefragt wird, wenn der SP diese auch wirklich freigegeben bekommen hat
# Somit werden unnötige LDAP-Abfragen bei allen Logins an anderen SPs vermieden
#
Wenn conf/activation-conditions.xml noch nicht existiert hat, muss der Tomcat neugestartet werden, damit die services.xml neu eingelesen wird.\\
Ansonsten genügt es bei Erweiterung um neue Conditions den jeweiligen Service neu zu laden.
**Links / Dokumentation:**\\
https://wiki.shibboleth.net/confluence/display/IDP30/ActivationConditions\\
https://wiki.shibboleth.net/confluence/display/IDP30/ExternalAttributePluginActivationConditions\\
https://wiki.shibboleth.net/confluence/display/IDP30/RegistrationAuthorityConfiguration\\
https://wiki.shibboleth.net/confluence/display/IDP30/InEntityGroupConfiguration\\
https://wiki.shibboleth.net/confluence/display/IDP30/ReloadableServices
{{tag>archiv fixme}}