====== DFN-Portale ======
(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]])

===== Voraussetzungen für die AAI-Nutzung von Portalen im DFN ====

Gültig für:
  * eduroam-Metadaten-Portal
  * Mailsupport-Portal
Die Konfiguration erfordert üblicherweise die Mithilfe Ihrer AAI-Administration, da die Attributfreigaben anzupassen sind.

  * Ihr Identity-Provider muss in die DFN-AAI eingebunden sein. Unter https://tools.aai.dfn.de/entities/ können Sie nach Ihrer Einrichtung suchen und sehen, ob diese an der DFN-AAI teilnimmt.
  * Je nach Portal müssen Berechtigungen im Attribut eduPersonEntitlement übertragen werden. Die Attributfreigabe sollte nur die notwendigen Berechtigungen weitergeben. Zur Zeit definiert:
    * Eduroam Metadaten Portal:  ''urn:geant:dfn.de:eduroam:emp:admin''
    * Mailsupport Portal:        Kein Entitlement notwendig
  * Die folgende Freigabe übermittelt die notwendigen Attribute:
<file xml ./conf/attribute-filter.xml>
   <!--  Release to DFN-Portale -->
   <AttributeFilterPolicy id="dfn-portale">
      <PolicyRequirementRule xsi:type="OR">
         <Rule xsi:type="Requester" value="https://kc-proxy2.dfn-cert.de/idp/shibboleth" />
         <Rule xsi:type="Requester" value="https://kc-proxy.dfn-cert.de/idp/shibboleth" />
      </PolicyRequirementRule>
      <AttributeRule attributeID="displayName" permitAny="true" />
      <AttributeRule attributeID="givenName" permitAny="true" />
      <AttributeRule attributeID="sn" permitAny="true" />
      <AttributeRule attributeID="mail" permitAny="true" />
      <AttributeRule attributeID="eduPersonAssurance" permitAny="true" />
      <!-- Entitlements, die für angeschlossene Portale benötigt werden.
           Zur Zeit definiert:
           Eduroam Metadaten Portal: urn:geant:dfn.de:eduroam:emp:admin
           Mailsupport Portal:       Kein Entitlement notwendig
           Bitte individuell konfigurieren
       -->
       <!--   <AttributeRule attributeID="eduPersonEntitlement">
                   <PermitValueRule xsi:type="Value" value="urn:geant:dfn.de:eduroam:emp:admin"/>
              </AttributeRule>
       -->
       <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> 
       <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
       <AttributeRule attributeID="samlPairwiseID" permitAny="true" /> 
       <AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
   </AttributeFilterPolicy>
</file>

**Hinweis:** Bitte achten Sie darauf, dass die attributeIDs in Ihrer Shibboleth-IdP-Konfiguration identisch verwendet werden.