Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:attribute_authority [2020/07/01 18:07] – Wolfgang Pempe | de:aai:attribute_authority [2021/02/08 16:06] – [Konfiguration am Shibboleth SP] Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~~NOTOC~~ | ||
====== Attribute Authority ====== | ====== Attribute Authority ====== | ||
- | {{INLINETOC 2}} | + | |
- | Bei Attribute Authorities handelt es sich um externe Attributquellen, | + | Bei Attribute Authorities handelt es sich um externe Attributquellen, |
Grundsätzlich kann auch die hinter dem jeweiligen SP liegende Anwendung eine entsprechende Datenbank anbinden. Falls die betreffende Anwendung dies nicht von Haus aus unterstützt oder die Betreiber den damit verbundenen Aufwand vermeiden wollen, ist es einfacher, dem SP die Aufgabe der Sammlung der Autorisierungsdaten zu übertragen - der diese standardkonform (SAML2) wahrnimmt, indem er Attribute Queries an eine oder mehrere Attribute Authorities richtet. | Grundsätzlich kann auch die hinter dem jeweiligen SP liegende Anwendung eine entsprechende Datenbank anbinden. Falls die betreffende Anwendung dies nicht von Haus aus unterstützt oder die Betreiber den damit verbundenen Aufwand vermeiden wollen, ist es einfacher, dem SP die Aufgabe der Sammlung der Autorisierungsdaten zu übertragen - der diese standardkonform (SAML2) wahrnimmt, indem er Attribute Queries an eine oder mehrere Attribute Authorities richtet. | ||
Technisch gesehen handelt es sich bei einer Attribute Authority um einen üblicherweise funktionsreduzierten IdP, der als einziges Profil Attribute Queries unterstützen muss. Hierzu ist es erforderlich, | Technisch gesehen handelt es sich bei einer Attribute Authority um einen üblicherweise funktionsreduzierten IdP, der als einziges Profil Attribute Queries unterstützen muss. Hierzu ist es erforderlich, | ||
- | === Weiterführende Informationen | + | Weiterführende Informationen |
* [[https:// | * [[https:// | ||
* [[de: | * [[de: | ||
Zeile 52: | Zeile 51: | ||
==== Attribute Resolver ==== | ==== Attribute Resolver ==== | ||
- | Ein anfragender SP verwendet ein Attribut, anhand dessen ein*e Nutzer*in eindeutig identifiziert werden kann. Der SP verlangt | + | Ein anfragender SP verwendet ein Attribut, anhand dessen ein*e Nutzer*in eindeutig identifiziert werden kann. Der SP verlangt vom Heimat-IdP |
Im Attribute Resolver sieht dies dann ungefähr wie folgt aus: | Im Attribute Resolver sieht dies dann ungefähr wie folgt aus: | ||
Zeile 115: | Zeile 114: | ||
</ | </ | ||
- | Über eine SP-seitige Attribute Filter Policy lässt sich festlegen, dass (z.B.) eduPersonEntitlement nur von der gewünschten Attribute Authority akzeptiert wird - und nicht von irgendwelchen anderen IdPs: | + | Über eine SP-seitige Attribute Filter Policy lässt sich festlegen, dass (z.B.) eduPersonEntitlement nur von der gewünschten Attribute Authority akzeptiert wird - und nicht von irgendwelchen anderen IdPs: \\ |
+ | **Alte Syntax:** | ||
<file xml / | <file xml / | ||
< | < | ||
Zeile 123: | Zeile 123: | ||
< | < | ||
</ | </ | ||
- | + | **Neue Syntax:** | |
- | {{tag> | + | <file xml / |
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | {{tag> |