(zurück zur Übersicht)
Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig:
isMemberOf, mit dem Sie pro User angeben, ob dieser in die Kategorie „Standard“ oder „Premium“ fällt.isMemberOf bzw. urn:oid:1.3.6.1.4.1.5923.1.5.1.1 in der Attribute Registry hinterlegen. Die AttributeEncoder-Zeile aus dem folgenden Beispiel muss entfernt werden../conf/attribute-resolver.xml.:<!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet --> <AttributeDefinition xsi:type="Mapped" id="group-urn"> <InputDataConnector ref="myLDAP" attributeNames="memberOf"/> <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" /> <!-- User in der "premium"-Gruppe --> <ValueMap> <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue> <SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</SourceValue> </ValueMap> <!-- User in der "standard"-Gruppe --> <ValueMap> <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue> <SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</SourceValue> </ValueMap> </AttributeDefinition>
Ein passender Attribut-Filter für Kivuto sieht dann so aus:
<AttributeFilterPolicy id="Kivuto"> <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" /> <AttributeRule attributeID="mail" permitAny="true"/> <AttributeRule attributeID="givenName" permitAny="true"/> <!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! --> <AttributeRule attributeID="surname" permitAny="true"/> <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> <AttributeRule attributeID="group-urn"> <PermitValueRule xsi:type="OR"> <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:standard" /> <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:premium" /> </PermitValueRule> </AttributeRule> </AttributeFilterPolicy>