Dies ist eine alte Version des Dokuments!


Es kann Fälle geben, in denen Service Provider älterer Bauart nicht in der Lage sind, einen Persistent Name Identifier zu verarbeiten, sondern den entsprechenden Wert als Attribut empfangen und verarbeiten müssen. Üblicherweise handelt es sich dann um das Attribut eduPersonTargetedID.

  • SAML1-SPs können diese Info nur als Attribut bekommen weil die persistent NameID nur in SAML2 definert ist.
  • manche SAML2-fähigen SPs erwarten aus historischen Gründen die Angabe in Form eines Attributes
./conf/attribute-resolver.xml
    <!-- eduPersonTargetedID aus der SAML2NameID bilden -->
    <AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" sourceAttributeID="persistentID"
        nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
        <Dependency ref="myStoredId" />
        <DisplayName xml:lang="en">anonymous targeted Id</DisplayName>
        <DisplayName xml:lang="de">anonyme, resourcenspezifische Kennung</DisplayName>
        <DisplayDescription xml:lang="en">anonymous targeted Id</DisplayDescription>
        <DisplayDescription xml:lang="de">anonyme, resourcenspezifische Kennung</DisplayDescription>
        <AttributeEncoder xsi:type="SAML1XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" />
        <AttributeEncoder xsi:type="SAML2XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" />
    </AttributeDefinition>
 
    <!-- ========================================== -->
    <!--      Data Connectors                       -->
    <!-- ========================================== -->
 
    <DataConnector id="myStoredId"
        xsi:type="StoredId"
        generatedAttributeID="persistentID"
        sourceAttributeID="%{idp.persistentId.sourceAttribute}"
        salt="%{idp.persistentId.salt}"
        queryTimeout="0">
        <Dependency ref="%{idp.persistentId.sourceAttribute}" />
        <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection>
    </DataConnector>

Die Freigabe dieses Attributs erfolgt dann analog zu allen anderen Attributen auch in ./conf/attribute-filter.xml.

  • Zuletzt geändert: vor 3 Jahren