Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:aai:attribute_authority [2020/10/15 10:31] – Silke Meyer | de:aai:attribute_authority [2021/04/26 15:07] – überarbeitungsbedürftig Silke Meyer |
---|
Technisch gesehen handelt es sich bei einer Attribute Authority um einen üblicherweise funktionsreduzierten IdP, der als einziges Profil Attribute Queries unterstützen muss. Hierzu ist es erforderlich, dass der IdP der Heimateinrichtung ein Attribut liefert (z.B. E-Mail, eduPersonPrincipialName, eduPersonUniqueId, Subject-Id), das den / die jeweilige(n) Nutzer(in) eindeutig identifiziert und anhand dessen die Attribute Query bei einer oder mehreren Attribute Authorities erfolgt. | Technisch gesehen handelt es sich bei einer Attribute Authority um einen üblicherweise funktionsreduzierten IdP, der als einziges Profil Attribute Queries unterstützen muss. Hierzu ist es erforderlich, dass der IdP der Heimateinrichtung ein Attribut liefert (z.B. E-Mail, eduPersonPrincipialName, eduPersonUniqueId, Subject-Id), das den / die jeweilige(n) Nutzer(in) eindeutig identifiziert und anhand dessen die Attribute Query bei einer oder mehreren Attribute Authorities erfolgt. |
| |
=== Weiterführende Informationen === | Weiterführende Informationen finden Sie unter: |
* [[https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_87.pdf|"Mit verteilten Rollen: Attribute Authorities in der DFN-AAI"]] (Gerrit Gragert + Wolfgang Pempe in: DFN-Mitteilungen 87) | * [[https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_87.pdf|"Mit verteilten Rollen: Attribute Authorities in der DFN-AAI"]] (Gerrit Gragert + Wolfgang Pempe in: DFN-Mitteilungen 87) |
* [[de:shibidp3userdepro|User Deprovisionierung via Attribute Query]] | * [[de:shibidp3userdepro|User Deprovisionierung via Attribute Query]] |
<AttributeResolver type="SimpleAggregation" attributeId="subject-id" format="urn:oasis:names:tc:SAML:attribute:subject-id"> | <AttributeResolver type="SimpleAggregation" attributeId="subject-id" format="urn:oasis:names:tc:SAML:attribute:subject-id"> |
<Entity>https://trusted-attribute-authority.example.org/idp/shibboleth</Entity> | <Entity>https://trusted-attribute-authority.example.org/idp/shibboleth</Entity> |
<Attribute Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="eduPersonEntitlement"/> | <saml2:Attribute xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="eduPersonEntitlement"/> |
</AttributeResolver> | </AttributeResolver> |
<!-- ... --> | <!-- ... --> |
</file> | </file> |
| |
Über eine SP-seitige Attribute Filter Policy lässt sich festlegen, dass (z.B.) eduPersonEntitlement nur von der gewünschten Attribute Authority akzeptiert wird - und nicht von irgendwelchen anderen IdPs: | Über eine SP-seitige Attribute Filter Policy lässt sich festlegen, dass (z.B.) eduPersonEntitlement nur von der gewünschten Attribute Authority akzeptiert wird - und nicht von irgendwelchen anderen IdPs: \\ |
| **Alte Syntax:** |
<file xml /etc/shibboleth/attribute-policy.xml> | <file xml /etc/shibboleth/attribute-policy.xml> |
<!-- ... --> | <!-- ... --> |
<!-- ... --> | <!-- ... --> |
</file> | </file> |
| **Neue Syntax:** |
{{tag>idp3 idp4 sp attribute-authority}} | <file xml /etc/shibboleth/attribute-policy.xml> |
| <!-- ... --> |
| <AttributeRule attributeID="eduPersonEntitlement"> |
| <PermitValueRule xsi:type="Issuer" value="https://trusted-attribute-authority.example.org/idp/shibboleth"/> |
| <AttributeRule> |
| <!-- ... --> |
| </file> |
| {{tag>idp3 fixme idp4 sp attribute-authority}} |