Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:aai:attribute_authority [2020/07/01 17:49] Wolfgang Pempede:aai:attribute_authority [2020/07/01 18:04] Wolfgang Pempe
Zeile 40: Zeile 40:
  
     <util:list id="shibboleth.RelyingPartyOverrides">     <util:list id="shibboleth.RelyingPartyOverrides">
-        <bean parent="RelyingPartyByName" c:relyingPartyIds="#{{'https://trusted-sp1.org/shibboleth','https://trusted-sp2.org/shibboleth'}}">+        <bean parent="RelyingPartyByName" c:relyingPartyIds="#{{'https://trusted-sp1.example.org/shibboleth','https://trusted-sp2.example.org/shibboleth'}}">
             <property name="profileConfigurations">             <property name="profileConfigurations">
                 <list>                 <list>
Zeile 97: Zeile 97:
         <constructor-arg name="candidates">         <constructor-arg name="candidates">
             <list>             <list>
-                <value>https://trusted-sp1.org/shibboleth</value> +                <value>https://trusted-sp1.example.org/shibboleth</value> 
-                <value>https://trusted-sp2.org/shibboleth</value>+                <value>https://trusted-sp2.example.org/shibboleth</value>
             </list>             </list>
         </constructor-arg>         </constructor-arg>
Zeile 104: Zeile 104:
 </file> </file>
        
 +===== Konfiguration am Shibboleth SP =====
 +Damit ein Shibboleth SP Attribute Queries gegen eine bestimmte Attribute Authority ausführt, muss in der Konfiguration das Element ''<AttributeResolver>'' gesetzt werden:
 +<file xml /etc/shibboleth/shibboleth2.xml>
 +   <!-- ... -->
 +   <AttributeResolver type="SimpleAggregation" attributeId="subject-id" format="urn:oasis:names:tc:SAML:attribute:subject-id">
 +       <Entity>https://trusted-attribute-authority.example.org/idp/shibboleth</Entity>
 +       <Attribute Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="eduPersonEntitlement"/>
 +   </AttributeResolver>
 +   <!-- ... -->
 +</file>
 +
 +Über eine SP-seitige Attribute Filter Policy lässt sich festlegen, dass (z.B.) eduPersonEntitlement nur von der gewünschten Attribute Authority akzeptiert wird - und nicht von irgendwelchen anderen IdPs:
 +<file xml /etc/shibboleth/attribute-policy.xml>
 +   <!-- ... -->
 +   <afp:AttributeRule attributeID="eduPersonEntitlement">
 +      <afp:PermitValueRule xsi:type="basic:AttributeIssuerString" value="https://trusted-attribute-authority.example.org/idp/shibboleth"/>
 +   </afp:AttributeRule>
 +   <!-- ... -->
 +</file>
 +
 +{{tag>idp3 idp4 sp}}
  • Zuletzt geändert: vor 7 Stunden