Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:shibidp3attributes [2017/02/24 16:05] – gelöscht Raoul Gunnar Boreniusde:shibidp3attributes [2021/04/26 15:06] – überarbeitungsbedürftig Silke Meyer
Zeile 1: Zeile 1:
 +====== Attribute - Generierung und Weitergabe in der DFN-AAI ======
 +<callout color="#ff9900" title="Veraltete IdP-Version!">
 +</callout>
 +Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://download.aai.dfn.de/ws/2018_fhdo/attributes.pdf|Präsentation von einem der DFN-AAI Workshops]].
  
 +Nachdem Ihr IdP im Produktiven Teil der DFN-AAI angekommen ist, müssen Sie für die SPs auf die Ihre User zugreifen sollen die entsprechenden Attribut-Freigaben konfigurieren. Auf den folgenden Sub-Seiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI.
 +Idealerweise sollte jeder SP-Betreiber die von seinem SP gebrauchten Attribute gut auffindbar online dokumentieren.
 +Dies ist oft leider nicht der Fall, wir versuchen dieses Manko hier so weit wie möglich auszugleichen.
 +Sollten Sie weitere Beispiele finden oder selber erarbeiten, freuen wir uns über eine Rückmeldung und publizieren dies auch auf Wunsch gerne in diesem Wiki damit andere davon profitieren können.
 +
 +==== Generell gilt ====
 +
 +  * bei vielen SPs müssen Sie den SP-Betreiber erst kontaktieren, bevor Ihre User Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID des IdP bei sich auf eine Autorisierungsliste setzen.
 +  * Informationen zu den SPs in der DFN-AAI finden Sie unter https://www.aai.dfn.de/verzeichnis/
 +  * testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie entweder
 +    * auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!)
 +    * oder auch mit Ihrem Produktiv-IdP den Sie dazu in der DFN-AAI-Metadatenverwaltung einfach in der Testumgebung belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
 +  * in idp-audit.log vermerkt der IdP pro SP welche Attribute übertragen wurden
 +
 +=== Änderung in attribute-resolver.xml gegenüber IdP 2.x ===
 +
 +  * [[https://wiki.shibboleth.net/confluence/display/IDP30/NameIDGenerationConfiguration|Name IDs]] werden hier nicht mehr konfiguriert
 +  * Parameter für die DataConnectors werden aus properties-Files gelesen
 +  * Scope wird aus properties-Files gelesen
 +  * Scripted AttributeDefinition - alles neu, unterschiedliche Scripting Engines für Java 7 und Java 8, siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/ScriptedAttributeDefinition|Dokumentation im Shibboleth Wiki]] und [[https://wiki.shibboleth.net/confluence/display/SHIB2/IdPJava1.8|Running the Rhino engine under Java 1.8]]
 +
 +=== Änderung in attribute-filter.xml gegenüber IdP 2.x ===
 +
 +  * [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterLegacyNameSpaceMapping|Syntax vereinfacht]] (u.a. nur noch ein Namespace)
 +  * Filtern von NameIDs (transientID und persistentID) enfällt.
 +
 +Zum **grundlegenden Verständnis** des Zusammenspiels von Attributgenerierung, Weitergabe und Verarbeitung siehe z.B. diese [[https://download.aai.dfn.de/ws/2019_hlm/attribute.pdf|Präsentation]].
 +
 +Siehe auch [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterConfiguration|Dokumentation im Shibboleth Wiki]]
 +
 +<callout color="#ff9900" title="Beispiele">
 +Die Beispiele finden Sie jetzt in der [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|IdP 4.x-Dokumentation]]. Alle dort dokumentierten Attributfreigaben gelten für Shibboleth IdP 3.x und 4.x.
 +</callout>
 +
 +{{tag>idp3 fixme}}