- de:production|Produktivbetrieb ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:attributes-nutshell|Attributes in a Nutshell ->
====== Anpassung der Attributkonfiguration ======
Sie haben beim initialen Einrichten des IdPs eine [[de:shibidp:config-attributes-minimal|Minimal-Konfiguration]] für Attributdefinitionen und -freigaben heruntergeladen. Nachdem Ihr IdP in die Produktivföderation aufgenommen wurde, müssen Sie nun für die echten SPs, auf die Ihre User*innen zugreifen sollen, Attribut-Freigaben konfigurieren. Hier und auf den folgenden Unterseiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI.
===== Vervollständigung der Attribute Registry =====
Ab Shibboleth IdP 4.x werden bestimmte Zusatzinformationen zu den definierten Attributen in der Attribute Registry vorgenommen. Das sind die Konfigurationsdateien unterhalb von ''./conf/attributes''. Alle Standardattribute sind dort bereits vorkonfiguriert. Pro Schema finden Sie eine ''.xml''-Datei in dem Ordner, z.B. ''./conf/attributes/eduPerson.xml''.
* Zur Definition mehrerer Attribute oder eines Schemas legen Sie eine ''.xml''-Datei in ''./conf/attributes'' und binden sie in ''./conf/attributes/default-rules.xml'' ein.
* Zur Definition einzelner Attribute legen Sie eine ''.properties''-Datei in ''./conf/attributes/custom''.
==== dfnEduPerson-Schema einbinden ====
Das [[de:attributes#e-learning_und_dfn-spezifische_erweiterungen|dfnEduPerson-Schema]] wird nicht mitgeliefert, da es DFN-spezifische Attribute enthält. Wenn Sie es benötigen, gehen Sie so vor:
* Laden Sie sich unsere [[https://download.aai.dfn.de/schema/dfnEduPerson.xml|.xml-Datei]] herunter und legen Sie sie in den Ordner ''./conf/attributes''.
* Editieren Sie die Datei ''./conf/attributes/default-rules.xml'' und importieren Sie dort das neue Schema:
==== eduPersonTargetedID und andere verbreitete Attribute hinterlegen ====
Auch die veraltete, aber noch viel benutzte [[de:common_attributes#a11|eduPersonTargetedID]] ist nicht vordefiniert. Da viele SPs sie noch verlangen, sollten Sie sie hinterlegen. Wir haben eine kleine Sammlung verbreiteter, nicht mitgelieferter Attribute für den IdP 4.x zusammengestellt. Sie enthält neben den Transcoding Properties für ''eduPersonTargetedID'' auch gängige Attribute aus dem SCHAC-Schema (z.B. ''schacPersonalUniqueCode'') und ''bwidmOrgId''. Laden Sie sich die Datei **[[de:shibidp:dfn_misc_transcoder|dfnMisc.xml]]** herunter und legen Sie sie nach ''./conf/attributes/dfnMisc.xml''. Referenzieren Sie sie in ''./conf/attributes/default-rules.xml''.
==== eduPersonAssurance und REFEDS Assurance Framework ====
Siehe hierzu die [[de:aai:assurance_idp|Hinweise und Konfigurationsbeispiele zur Implementierung des REFEDS Assurance Frameworks für IdPs]].
==== Optional: SAML1 abschalten ====
In den Dateien der Attribute Registry sehen Sie bei jedem Attribut zwei Transcoder, einen für SAML1 und einen für SAML2:
SAML2StringTranscoder SAML1StringTranscoder
urn:oid:1.3.6.1.4.1.5923.1.1.1.1
urn:mace:dir:attribute-def:eduPersonAffiliation
SAML1 ist veraltet. In der DFN-AAI gibt es keine Service Provider mehr, die ausschließlich SAML1 können. Daher kann der SAML1 Transcoder überall herausgenommen werden: SAML2StringTranscoder
urn:oid:1.3.6.1.4.1.5923.1.1.1.1
===== Vervollständigung der Attributdefinitionen =====
Die Minimal-Konfiguration enthält nur wenige Attribute. Welche weiteren Attributdefinitionen Sie einpflegen müssen, hängt davon ab, welche SPs Sie nutzen möchten und welche Attribute die von Ihrem IdP erwarten.
Beginnen Sie z.B. mit unserer [[de:common_attributes|Liste der Attribute, die jeder IdP bereitstellen können sollte]], und definieren Sie sie in ''./conf/attribute-resolver.xml''.
**Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine '''' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert. \\
**Ausnahme:** Falls Attribute wie ''eduPersonScopedAffiliation'' oder ''eduPersonPrincipalName'' bereits mit Scope aus dem LDAP/AD kommen, dürfen diese nicht via ''exportAttributes'' direkt an die Registry weitergereicht werden, sondern müssen über eine entsprechende '''' mit ''type="Prescoped"'' definiert werden.
* +
==== Beispiele ====
* [[de:shibidp:config-attributes-edupersonuniqueid|eduPersonUniqueId]]
* [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] (veraltet, aber noch recht verbreitet)
* [[de:shibidp:config-attributes-aaiplus|SAML Subject ID und Pairwise ID]]
===== Einrichtung neuer Attributfreigaben =====
* Bitte lesen Sie die Seite [[de:aai:attributes_transmission|Attributübermittlung vom IdP an den SP]] zur grundsätzlichen Funktionsweise.
* Idealerweise sollte jeder SP-Betreiber die von seinem SP benötigten Attribute online dokumentieren und sie in den SP-Metadaten anführen.
* Bei vielen SPs müssen Sie den SP-Betreiber erst kontaktieren, bevor Ihre User*innen Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID Ihres IdP bei sich auf eine Autorisierungsliste setzen.
* Beachten Sie auch unsere [[de:aai:dataprotection#fuer_der_betrieb_eines_idp|Hinweise zu Datenschutz und Datensparsamkeit]].
* Informationen zu den SPs in der DFN-AAI finden Sie im [[https://www.aai.dfn.de/verzeichnis/|Verzeichnis]].
* Einrichtungsinterne Dienste, an denen sich Externe nicht anmelden können sollen, konfigurieren Sie über [[de:metadata_local|lokale Metadaten]].
* Testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie
* entweder auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!) oder
* mit Ihrem Produktiv-IdP, den Sie dazu in der Testföderation belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
* Der IdP vermerkt in der Logdatei ''idp-audit.log'' pro SP, welche Attribute übertragen wurden.
Siehe auch die Dokumentation zum [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501794/AttributeFilterConfiguration|Attributfilter]] im Shibboleth Wiki.
==== Subject Identifier Attributes ====
* Freigabe von [[de:shibidp:config-attributes-subject_ids|SAML V2.0 Subject Identifier Attributes]] (subject-id, pairwise-id)
==== Anonymous Access Entity Category ====
* Manche SPs lassen sich bereits mit diesen Angaben nutzen. Siehe hierzu die Spezifikation unter https://refeds.org/category/anonymous
* Zur Attribut-Konfiguration von ''eduPersonScopedAffiliation'' siehe das Beispiel für [[de:shibidp:config-attributes-publishers|Verlagsanbieter]]
* Für IdPs, die die Attributfreigabe an diese Entity Category unterstützen, sollte unbedingt in der Metadatenverwaltung das entsprechende Entity Category Support Attribut gesetzt werden
==== Pseudonymous and Personalized Access Entity Categories ====
* Beispiele für die [[de:shibidp:config-attributes-access_ecs|Freigabe von Attributen für diese Entity Categories]]
==== Häufig genutzte Service Provider ====
* Freigabe von ''eduPersonScopedAffiliation'' und ''eduPersonEntitlement'' an [[de:shibidp:config-attributes-publishers|Verlagsanbieter]]
* [[de:shibidp:config-attributes-eduroam|CAT eduroam]]
* [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung|DFNconf und DFN-Webconferencing]]
* [[de:shibidp:config-attributes-dfnmailsupport|DFN-Mailsupport]]
* [[de:shibidp:config-attributes-dfnterminplaner|DFN-Terminplaner 6]]
* [[de:shibidp:config-attributes-easyroam4edu|easyroam]]
* [[de:shibidp:config-attributes-eduvpn|eduVPN]] (Pilotprojekt)
* [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]]
* [[de:shibidp:config-attributes-gigamove|Gigamove]] der RWTH Aachen
* [[de:shibidp:config-attributes-inacademia|InAcademia]]
* [[de:shibidp:config-attributes-kivuto|Kivuto / On the Hub]]
* [[de:shibidp:config-attributes-dticket|Berechtigungsprüfung für ein ermäßigtes Deutschlandticket]]
* [[de:shibidp:config-attributes-nahsh|NAHSH]] (Semesterticket Schleswig Holstein)
* [[de:shinidp:oidc-proxy|OpenID-Connect-Proxy]] mit angeschlossenen Diensten (Proxy für Dienste, die ausschließlich OpenID Connect unterstützen)
* [[de:shibidp:config-attributes-tcs|TCS Cert-Manager]]
* [[de:shibidp:config-attributes-coco#attributfreigabe_fuer_code-of-conduct_sps|Attributfreigaben nach Angaben in SP-Metadaten]] richten (Beispiel)
* [[de:shibidp:config-attributes-local-sps|Einheitliche Attributfreigaben für alle lokalen SPs]]
* [[de:shibidp:config-attributes-dependencies|Attributfreigabe in Abhängigkeit des Wertes eines anderen Attributes]]
* e-Research SPs:
* [[de:shibidp:config-attributes-coco|Code of Conduct-SPs]]
* [[de:shibidp:config-attributes-clarin|CLARIN SPs]]
* [[de:shibidp:config-attributes-rands|REFEDS Research and Scholarship Entity Category]]
* [[de:shibidp:config-attributes-elixir|ELIXIR]]
* [[de:entity_attributes#beispiele_filter|Service Provider aus Community-Projekten, Freigabe anhand einer Entity Category]]
==== Kommerzielle Tenant SPs als lokale SPs ====
* [[https://wiki.shibboleth.net/confluence/display/KB/Adobe+Creative+Cloud+Integration+Guide|Adobe Creative Cloud]]
* [[de:shibidp:config-attributes-arcgis|ArcGIS Online]]
* [[de:shibidp:config-attributes-cisco-webex|Cisco Webex]]
* [[de:shibidp:config-attributes-linkedin-learning|LinkedIn Learning]]
==== SPs, die nicht an der DFN-AAI teilnehmen ====
Sie können Service Provider an den IdP anbinden, die nicht an der DFN-AAI teilnehmen. Dies bedeutet v.a. für Sie mehr Arbeit:
Wir kennen diese SPs nicht und können deren Support nicht übernehmen. Erfragen Sie, ob der SP standardkonformes SAML2 spricht, so dass Ihr IdP die erforderlichen Attribute auch liefern kann. (Oder definieren Sie in Ihrem IdP ggf. die selbst ausgedachten Attribute einzelner Anbieter...)
Der Metadatenaustausch kann so erfolgen: Sie erhalten i.d.R. eine Möglichkeit, die Metadaten Ihres IdP per Formular o.ä. an den SP zu übermitteln. Die aktuellen Metadaten Ihres IdP können Sie sich aus der Metadatenverwaltung holen, wie unter [[de:shibidp:troubleshooting|Troubleshooting]] beschrieben.
Achtung: Jede Metadatenänderung müssen Sie dort von Hand nachziehen, z.B. erneuerte IdP-Zertifikate für die SAML-basierte Kommunikation.
Für die umgekehrte Richtung, also die Bekanntmachung der SP-Metadaten im IdP gehen Sie so vor: Sie erhalten die SP-Metadaten vom Anbieter. Damit legen Sie einen neuen SP in ihrem Metadatenzugang an. Nehmen Sie ihn nur in den lokalen Metadatensatz Ihrer Heimateinrichtung auf, der ja meist im IdP eh bereits [[de:metadata_local|konfiguriert]] ist. Auch hier müssen Sie Metadatenaktualisierungen auf Seite des SPs selbst einpflegen.
{{tag>idp4 tutorial attribute}}