| Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:aai:attributes_transmission [2021/02/10 12:33] – angelegt Silke Meyer | de:aai:attributes_transmission [2021/03/14 14:45] (aktuell) – Wolfgang Pempe |
|---|
| ====== Attributübermittlung vom IdP an den SP ====== | ====== Attributübermittlung vom IdP an den SP ====== |
| |
| Welche Attribute ein Service Provider letztlich erhält, wird immer durch die IdP-Konfiguration entschieden. Service Provider haben einige technische Möglichkeiten, die gewünschten oder erforderlichen Attribute zur Autorisierung anzusagen. Identity Provider sind gemäß der [[https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf|standardisierten SAML-Profile]] jedoch nicht dazu verpflichtet, darauf einzugehen. | **Welche Attribute ein Service Provider letztlich erhält, wird immer durch die IdP-Konfiguration entschieden.** Service Provider haben einige technische Möglichkeiten, die gewünschten oder erforderlichen Attribute zur Autorisierung anzusagen. Identity Provider sind gemäß der [[https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf|standardisierten SAML-Profile]] jedoch nicht dazu verpflichtet, darauf einzugehen. |
| |
| ===== Möglichkeiten auf Service Provider-Seite ===== | ===== Möglichkeiten auf Service Provider-Seite ===== |
| - Laut Standard kann ein SP im Authentication Request bestimmte Attribute anfordern. ("The <AuthnRequest> MAY contain an AttributeConsumingServiceIndex XML attribute | - Laut Standard kann ein SP im Authentication Request bestimmte Attribute anfordern. ("The <AuthnRequest> MAY contain an AttributeConsumingServiceIndex XML attribute referencing information about desired or required attributes in [SAMLMeta]. The identity provider MAY ignore this, or send other attributes at its discretion." Quelle: oben verlinktes PDF). Uns ist jedoch noch keine tatsächliche Implementierung dieses Features begegnet. |
| referencing information about desired or required attributes in [SAMLMeta]. The identity provider MAY ignore this, or send other attributes at its discretion." Quelle: oben verlinktes PDF). Uns ist jedoch noch keine tatsächliche Implementierung dieses Features begegnet. | - **In den SP-Metadaten sollten die gewünschten bzw. erforderlichen Attribute genannt werden.** Eine IdP-Konfiguration kann in den [[https://wiki.shibboleth.net/confluence/display/IDP4/AttributeInMetadataConfiguration|Attribut-Filterregeln]] darauf eingehen, sie darf die Informationen aber auch ignorieren. Geht sie darauf ein, dann werden Attribute nur dann freigegeben, wenn sie in den SP-Metadaten stehen oder auch, wenn sie dort als erforderlich markiert sind. (Die Nutzer*innen können die Attributfreigabe natürlich immer noch ablehnen.) |
| - In den SP-Metadaten sollten die gewünschten bzw. erforderlichen Attribute genannt werden. Eine IdP-Konfiguration kann in den Attribut-Filterregeln darauf eingehen, sie darf die Information aber auch ignorieren. Geht sie darauf ein, dann werden Attribute nur dann freigegeben, wenn sie in den SP-Metadaten stehen oder auch, wenn sie dort als erforderlich markiert sind. In dem Fall können die Nutzer*innen die Attributfreigabe natürlich immer noch ablehnen. | - Werden vom IdP keine Attribute übermittelt, dann kann der SP versuchen, eine Attribute Query über die SOAP-Schnittstelle am IdP abzusetzen. Auch dabei werden die Attribut-Filterregeln einbezogen. Das bedeutet, dass bei fehlenden Freigaben auch eine Attribut Query keine Informationen holen kann. (Ab dem IdP 4.x wird die Erlaubnis für Attribute Queries nicht mehr standardmäßig erteilt, sondern muss im entsprechenden SAML-Profil (''conf/relying-party.xml'') angeschaltet werden. |
| - Werden vom IdP keine Attribute übermittelt, dann kann der SP versuchen, eine Attribut Query über die SOAP-Schnittstelle am IdP abzusetzen. Auch dabei werden die Attribut-Filterregeln einbezogen. Das bedeutet, dass bei fehlenden Freigaben auch eine Attribut Query keine Informationen holen kann. (Ab dem IdP 4.x wird die Erlaubnis für Attribute Queries nicht mehr standardmäßig erteilt, sondern muss im entsprechenden SAML-Profil (''conf/relying-party.xml'') angeschaltet werden. | |
| |
| ===== Möglichkeiten auf Identity Provider-Seite ===== | ===== Möglichkeiten auf Identity Provider-Seite ===== |
| IdP-Betreiber*innen haben verschiedene Möglichkeiten, die Attributfreigaben zu erteilen: | IdP-Betreiber*innen haben verschiedene Möglichkeiten, die Attributfreigaben zu erteilen: |
| - Konfiguration pro SP (also pro EntityID) | * Konfiguration pro SP (also pro EntityID) -> [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|Beispiele]] |
| - Konfiguration für ganze Entity Kategorien (also Sammelfreigaben) | * Konfiguration für ganze Entity Kategorien (also Sammelfreigaben für SP-Gruppen) -> [[de:entity_attributes#beispiele_filter|Beispiele]] |
| - Konfiguration nach Angaben in SP-Metadaten | * Konfiguration nach Angaben in SP-Metadaten -> [[de:shibidp:config-attributes-coco|Beispiel]] |
| | Eine vollständige Übersicht über die verfügbaren Filterregeln findet sich im [[https://wiki.shibboleth.net/confluence/display/IDP4/AttributeFilterPolicyConfiguration|Shibboleth Wiki]]. |
| | |
| | {{tag>attribute}} |