Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:shibidp3attributes [2017/02/24 16:05] – angelegt Raoul Gunnar Boreniusde:shibidp3attributes [2021/04/26 15:06] – überarbeitungsbedürftig Silke Meyer
Zeile 1: Zeile 1:
-====== Attribute Erzeugung und Weitergabe in der DFN-AAI - Beispiele ======+====== Attribute - Generierung und Weitergabe in der DFN-AAI ====== 
 +<callout color="#ff9900" title="Veraltete IdP-Version!"> 
 +</callout> 
 +Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://download.aai.dfn.de/ws/2018_fhdo/attributes.pdf|Präsentation von einem der DFN-AAI Workshops]].
  
 Nachdem Ihr IdP im Produktiven Teil der DFN-AAI angekommen ist, müssen Sie für die SPs auf die Ihre User zugreifen sollen die entsprechenden Attribut-Freigaben konfigurieren. Auf den folgenden Sub-Seiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI. Nachdem Ihr IdP im Produktiven Teil der DFN-AAI angekommen ist, müssen Sie für die SPs auf die Ihre User zugreifen sollen die entsprechenden Attribut-Freigaben konfigurieren. Auf den folgenden Sub-Seiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI.
Zeile 8: Zeile 11:
 ==== Generell gilt ==== ==== Generell gilt ====
  
-  * bei den meisten SPs müssen Sie den SP-Betreiber erst kontaktieren bevor Ihre User Zugriff bekommen. Eine Attributfreigabe alleine reicht meist nicht aus, der Betreiber muss oft auch die entityID des IdPs bei sich auf eine Autorisierungsliste setzen.+  * bei vielen SPs müssen Sie den SP-Betreiber erst kontaktierenbevor Ihre User Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID des IdP bei sich auf eine Autorisierungsliste setzen.
   * Informationen zu den SPs in der DFN-AAI finden Sie unter https://www.aai.dfn.de/verzeichnis/   * Informationen zu den SPs in der DFN-AAI finden Sie unter https://www.aai.dfn.de/verzeichnis/
-  * testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test, dazu belassen Sie in der DFN-AAI-Metadatenverwaltung ihren IdP einfach in der Testumgebung. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.+  * testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie entweder 
 +    * auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!) 
 +    * oder auch mit Ihrem Produktiv-IdP den Sie dazu in der DFN-AAI-Metadatenverwaltung einfach in der Testumgebung belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
   * in idp-audit.log vermerkt der IdP pro SP welche Attribute übertragen wurden   * in idp-audit.log vermerkt der IdP pro SP welche Attribute übertragen wurden
  
-==== Änderung in attribute-resolver.xml gegenüber IdP 2.x ====+=== Änderung in attribute-resolver.xml gegenüber IdP 2.x ===
  
   * [[https://wiki.shibboleth.net/confluence/display/IDP30/NameIDGenerationConfiguration|Name IDs]] werden hier nicht mehr konfiguriert   * [[https://wiki.shibboleth.net/confluence/display/IDP30/NameIDGenerationConfiguration|Name IDs]] werden hier nicht mehr konfiguriert
Zeile 20: Zeile 25:
   * Scripted AttributeDefinition - alles neu, unterschiedliche Scripting Engines für Java 7 und Java 8, siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/ScriptedAttributeDefinition|Dokumentation im Shibboleth Wiki]] und [[https://wiki.shibboleth.net/confluence/display/SHIB2/IdPJava1.8|Running the Rhino engine under Java 1.8]]   * Scripted AttributeDefinition - alles neu, unterschiedliche Scripting Engines für Java 7 und Java 8, siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/ScriptedAttributeDefinition|Dokumentation im Shibboleth Wiki]] und [[https://wiki.shibboleth.net/confluence/display/SHIB2/IdPJava1.8|Running the Rhino engine under Java 1.8]]
  
-===== Beispiele =====+=== Änderung in attribute-filter.xml gegenüber IdP 2.x ===
  
-  * [[de:shibidp3attributes-publishers|Verlagsanbieter]] +  * [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterLegacyNameSpaceMapping|Syntax vereinfacht]] (u.a. nur noch ein Namespace) 
-  * [[de:shibidp3attributes-uniqueid|eduPersonUniqueId]] +  * Filtern von NameIDs (transientID und persistentID) enfällt.
-  * [[de:shibidp3attributes-uniqueid|eduPersonTargetedId]]+
  
 +Zum **grundlegenden Verständnis** des Zusammenspiels von Attributgenerierung, Weitergabe und Verarbeitung siehe z.B. diese [[https://download.aai.dfn.de/ws/2019_hlm/attribute.pdf|Präsentation]].
 +
 +Siehe auch [[https://wiki.shibboleth.net/confluence/display/IDP30/AttributeFilterConfiguration|Dokumentation im Shibboleth Wiki]]
 +
 +<callout color="#ff9900" title="Beispiele">
 +Die Beispiele finden Sie jetzt in der [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|IdP 4.x-Dokumentation]]. Alle dort dokumentierten Attributfreigaben gelten für Shibboleth IdP 3.x und 4.x.
 +</callout>
 +
 +{{tag>idp3 fixme}}