Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:aai:attribute_authority [2020/07/02 08:53] – [Attribute Resolver] Wolfgang Pempe | de:aai:attribute_authority [2024/07/08 10:13] (aktuell) – [Attribute Authority] Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~~NOTOC~~ | ||
====== Attribute Authority ====== | ====== Attribute Authority ====== | ||
- | {{INLINETOC 2}} | + | |
Bei Attribute Authorities handelt es sich um externe Attributquellen, | Bei Attribute Authorities handelt es sich um externe Attributquellen, | ||
Grundsätzlich kann auch die hinter dem jeweiligen SP liegende Anwendung eine entsprechende Datenbank anbinden. Falls die betreffende Anwendung dies nicht von Haus aus unterstützt oder die Betreiber den damit verbundenen Aufwand vermeiden wollen, ist es einfacher, dem SP die Aufgabe der Sammlung der Autorisierungsdaten zu übertragen - der diese standardkonform (SAML2) wahrnimmt, indem er Attribute Queries an eine oder mehrere Attribute Authorities richtet. | Grundsätzlich kann auch die hinter dem jeweiligen SP liegende Anwendung eine entsprechende Datenbank anbinden. Falls die betreffende Anwendung dies nicht von Haus aus unterstützt oder die Betreiber den damit verbundenen Aufwand vermeiden wollen, ist es einfacher, dem SP die Aufgabe der Sammlung der Autorisierungsdaten zu übertragen - der diese standardkonform (SAML2) wahrnimmt, indem er Attribute Queries an eine oder mehrere Attribute Authorities richtet. | ||
Zeile 7: | Zeile 6: | ||
Technisch gesehen handelt es sich bei einer Attribute Authority um einen üblicherweise funktionsreduzierten IdP, der als einziges Profil Attribute Queries unterstützen muss. Hierzu ist es erforderlich, | Technisch gesehen handelt es sich bei einer Attribute Authority um einen üblicherweise funktionsreduzierten IdP, der als einziges Profil Attribute Queries unterstützen muss. Hierzu ist es erforderlich, | ||
- | === Weiterführende Informationen | + | Weiterführende Informationen |
- | * [[https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/ | + | * [[https://download.aai.dfn.de/publikationen/dfn-mitteilungen/DFN-Mitteilungen-87.pdf|" |
- | * [[de:shibidp3userdepro|User Deprovisionierung via Attribute Query]] | + | * [[de:shibidp: |
===== Shibboleth IdP als Stand-alone Attribute Authority ===== | ===== Shibboleth IdP als Stand-alone Attribute Authority ===== | ||
Zeile 110: | Zeile 109: | ||
< | < | ||
< | < | ||
- | < | + | <saml2:Attribute |
</ | </ | ||
< | < | ||
</ | </ | ||
- | Über eine SP-seitige Attribute Filter Policy lässt sich festlegen, dass (z.B.) eduPersonEntitlement nur von der gewünschten Attribute Authority akzeptiert wird - und nicht von irgendwelchen anderen IdPs: | + | Über eine SP-seitige Attribute Filter Policy lässt sich festlegen, dass (z.B.) eduPersonEntitlement nur von der gewünschten Attribute Authority akzeptiert wird - und nicht von irgendwelchen anderen IdPs: \\ |
+ | **Alte Syntax:** | ||
<file xml / | <file xml / | ||
< | < | ||
Zeile 123: | Zeile 123: | ||
< | < | ||
</ | </ | ||
- | + | **Neue Syntax:** | |
- | {{tag>idp3 idp4 sp}} | + | <file xml / |
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | {{tag> |