====== Per Attribute Consent für vom SP nicht 'required' Attribute ====== In den allgemeinen Properties (''conf/idp.properties'') des IdP kann man einen //per Attrbute Consent// einstellen (''idp.consent.allowPerAttribute = true''). D.h. der Nutzer kann für jedes Attribut über eine Checkbox entscheiden, ob der Wert an den SP übertragen wird oder nicht. Das macht im Sinne des Prozesses aber nur Sinn, für die Attribute, die vom SP nicht explizit über die Metadaten (mit dem Tag ''required="True"'' versehen) angefordert werden. Um das auf der Attribute-Release Seite zu berücksichtigen sind folgende zwei kleine Anpassungen vorzunehmen: * Eine schon vorhandene IdP-Class in das Velocity Template propagieren. Dazu ist die Datei ''system/flows/intercept/attribute_release_flow.xml'' wie folgt zu ergänzen: ... 111 112 113 114 115 116 117 118 119 120 122 124 125 ... * Im Velocity Template die Checkbox nur für non-required Attribute anzeigen. Dazu die Datei ''views/intercept/attribute-release.vm'' anpassen: ... #foreach ($attribute in $attributeReleaseContext.getConsentableAttributes().values()) #end ... * Damit auch die Internationalisierung klappt, müssen die Message Properties noch ergänzt werden. ... idp.attribute-release.ToggleAll = Alle idp.attribute-release.requiredLabel = notwendig ... Wird der AttributeQuery benutzt, muss auch hier der letzte Consent vom Nutzer beachtet werden. Dazu ist in ''conf/intercept/consent-intercept-config.xml'' für die Bean ''shibboleth.consent.AttributeQuery.Condition'' der parent Parameter auf den Wert ''shibboleth.Conditions.TRUE'' zu setzen, siehe hierzu unter [[de:shibidp:config-storage#user_consent_zu_attributfreigabe_bei_attribute_queries_beruecksichtigen|Server-Side-Storage, Sessions, User Consent und Persistent Identifier]]. Damit werden auch AttributeQueries gegen die zuletzt gespeicherte Nutzereinwilligung gefiltert. Hat der Nutzer nur einmal zugestimmt, werden keine Attribute übertragen. Für das Propagieren des zusätzlichen Objektes in den Attribute-Release-Flow ist leider ein Neustart des IdP nötig. Wer sich davor scheut, den System Flow zu editieren, kann die Referenz auch direkt im Velocity Template holen. Das ist nicht unbedingt schön, aber funktional getestet mit dem IDP4. Das Instanziieren eines neuen Objekts ist in Velocity nicht vorgesehen, deswegen sieht der Code etwas abenteuerlich aus. Die Änderungen beschränken sich dann auf die Datei views/intercept/attribute-release.vm:



...
#set ($requestClass = $attributeReleaseContext.getClass().forName("javax.servlet.http.HttpServletRequest"))
#set ($isAttributeRequired = $attributeReleaseContext.getClass().forName("net.shibboleth.idp.consent.logic.impl.IsAttributeRequiredPredicate").getDeclaredConstructor($requestClass).newInstance($request))
...

...

#springMessageText("idp.attribute-release.attributesHeader", "Information to be Provided to Service")		#if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled ) #springMessageText("idp.attribute-release.ToggleAll", "Alle") #end
$encoder.encodeForHTML($attributeDisplayNameFunction.apply($attribute))	#foreach ($value in $attribute.values) $encoder.encodeForHTML($value.getDisplayValue()) #end	#if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled ) #if (!$attributeRequired.apply($attribute)) #set ($inputType = "checkbox") #else #set ($inputType = "hidden") #springMessageText("idp.attribute-release.requiredLabel", "notwendig") #end #else #set ($inputType = "hidden") #end
#if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled && !($isAttributeRequired.apply($attribute))) #set ($inputType = "checkbox") #else #set ($inputType = "hidden") #end ... Das Statement $isAttributeRequired.apply($attribute) produziert beim IDP4 eine Deprecation Warnung und muss durch $isAttributeRequired.test($attribute) ersetzt werden. Das gilt vermutlich auch für die Anleitung oben mit dem System flow. {{tag>fixme}}