====== Kivuto/OnTheHub ======
(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]])

Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig:

  * Aktivieren Sie die Erzeugung und Freigabe der [[de:shibidp:config-storage|persistentId]].
  * Testen Sie das gegen unseren [[https://testsp2.aai.dfn.de|Test-SP2]].
  * Kivuto verlangt außerdem das Attribut ''isMemberOf'', mit dem Sie pro User angeben, ob dieser in die Kategorie "Standard" oder "Premium" fällt.
    * In einem neu installierten IdP 4.x müssen Sie die Transcoding-Regel für ''isMemberOf'' bzw. ''urn:oid:1.3.6.1.4.1.5923.1.5.1.1'' in der Attribute Registry hinterlegen. Die AttributeEncoder-Zeile aus dem folgenden Beispiel muss entfernt werden.
    * In einem upgegradeten IdP 4.x generieren Sie das Attribut userspezifisch in ''./conf/attribute-resolver.xml''.:

<file xml ./conf/attribute-resolver.xml>
<!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet -->
<AttributeDefinition xsi:type="Mapped" id="group-urn">
    <InputDataConnector ref="myLDAP" attributeNames="memberOf"/>
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" />

    <!-- User in der "premium"-Gruppe -->
    <ValueMap>
         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue>
         <SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</SourceValue>
    </ValueMap>

    <!-- User in der "standard"-Gruppe -->
    <ValueMap>
         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue>
         <SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</SourceValue>
    </ValueMap>

</AttributeDefinition>
</file>

<callout color="#ff9900" title="Unsere URN-Registry">
Die Sache mit der eigenen URN klingt spannend? Sie können über die AAI-Hotline einen URN-Bereich für Ihre Einrichtung reservieren ([[de:urnreg:start|Infos hier]]).
</callout>

Ein passender Attribut-Filter für Kivuto sieht dann so aus:

<file xml ./conf/attribute-filter.xml>
<AttributeFilterPolicy id="Kivuto">
    <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" />
    <AttributeRule attributeID="mail"                       permitAny="true"/>
    <AttributeRule attributeID="givenName"                  permitAny="true"/>
    <!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! -->
    <AttributeRule attributeID="surname"                    permitAny="true"/>
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
    <AttributeRule attributeID="group-urn">
       <PermitValueRule xsi:type="OR">
          <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:standard" />
          <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:premium" />
       </PermitValueRule>
    </AttributeRule>
</AttributeFilterPolicy>
</file>

{{tag>idp4 attributfreigabe}}