Dies ist eine alte Version des Dokuments!
Attribute - Generierung und Weitergabe in der DFN-AAI
Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser Präsentation von einem der DFN-AAI Workshops.
Nachdem Ihr IdP im Produktiven Teil der DFN-AAI angekommen ist, müssen Sie für die SPs auf die Ihre User zugreifen sollen die entsprechenden Attribut-Freigaben konfigurieren. Auf den folgenden Sub-Seiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI. Idealerweise sollte jeder SP-Betreiber die von seinem SP gebrauchten Attribute gut auffindbar online dokumentieren. Dies ist oft leider nicht der Fall, wir versuchen dieses Manko hier so weit wie möglich auszugleichen. Sollten Sie weitere Beispiele finden oder selber erarbeiten, freuen wir uns über eine Rückmeldung und publizieren dies auch auf Wunsch gerne in diesem Wiki damit andere davon profitieren können.
Generell gilt
- bei vielen SPs müssen Sie den SP-Betreiber erst kontaktieren, bevor Ihre User Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID des IdP bei sich auf eine Autorisierungsliste setzen.
- Informationen zu den SPs in der DFN-AAI finden Sie unter https://www.aai.dfn.de/verzeichnis/
- testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie entweder
- auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!)
- oder auch mit Ihrem Produktiv-IdP den Sie dazu in der DFN-AAI-Metadatenverwaltung einfach in der Testumgebung belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
- in idp-audit.log vermerkt der IdP pro SP welche Attribute übertragen wurden
Änderung in attribute-resolver.xml gegenüber IdP 2.x
- Name IDs werden hier nicht mehr konfiguriert
- Parameter für die DataConnectors werden aus properties-Files gelesen
- Scope wird aus properties-Files gelesen
- Scripted AttributeDefinition - alles neu, unterschiedliche Scripting Engines für Java 7 und Java 8, siehe Dokumentation im Shibboleth Wiki und Running the Rhino engine under Java 1.8
Änderung in attribute-filter.xml gegenüber IdP 2.x
- Syntax vereinfacht (u.a. nur noch ein Namespace)
- Filtern von NameIDs (transientID und persistentID) enfällt.
Zum grundlegenden Verständnis des Zusammenspiels von Attributgenerierung, Weitergabe und Verarbeitung siehe z.B. diese Präsentation.
Siehe auch Dokumentation im Shibboleth Wiki