Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte Überarbeitung Beide Seiten der Revision
de:shibidp3config-attribute [2017/02/28 17:22]
Raoul Gunnar Borenius
de:shibidp3config-attribute [2019/09/19 11:27]
Wolfgang Pempe
Zeile 1: Zeile 1:
-==== Attribute-Konfiguration ====+====== Konfiguration ​Attribut-Generierung und -Freigabe====== 
 + 
 +Zum grundlegenden Verständnis der Attribut-Generierung,​ -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://​download.aai.dfn.de/​ws/​2019_hlm/​attribute.pdf|Präsentation von einem der DFN-AAI Workshops]].
  
 Erzeugung und Freigabe der SAML-Attribute wird weiterhin über die Dateien attribute-resolver.xml und attribute-filter.xml gesteuert. Diese unterscheiden sich syntaktisch und semantisch leicht von den gewohnten Dateien im IdP 2.x. Erzeugung und Freigabe der SAML-Attribute wird weiterhin über die Dateien attribute-resolver.xml und attribute-filter.xml gesteuert. Diese unterscheiden sich syntaktisch und semantisch leicht von den gewohnten Dateien im IdP 2.x.
Zeile 7: Zeile 9:
 === Minimal-attribute-resolver.xml === === Minimal-attribute-resolver.xml ===
  
-Laden Sie unsere ​{{de:​attribute-resolver.xml|Beispiel-Datei}} ​herunter und legen Sie diese nach ./​conf/​attribute-resolver.xml+Laden Sie unsere ​[[de:​attribute-resolver-example|Beispieldatei]] ​herunter und legen Sie diese nach ./​conf/​attribute-resolver.xml
  
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​ Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​
 <code bash> <code bash>
-root@idp:/​opt/​shibboleth-idp# ​service tomcat8 ​restart+root@idp:/​opt/​shibboleth-idp# ​systemctl ​restart ​tomcat8
 </​code>​ </​code>​
  
-=== attribute-filter.xml für die DFN-AAI-Test ===+=== attribute-filter.xml für die DFN-AAI Test-SP ===
  
-<file xml /​opt/​shibboleth-idp/​conf/​attribute-filter.xml+Laden Sie unsere [[de:​attribute-filter-example|Beispieldatei]] herunter und legen Sie diese nach ./​conf/​attribute-filter.xml.
-<?xml version="​1.0"​ encoding="​UTF-8"?>​ +
-<​AttributeFilterPolicyGroup id="​ShibbolethFilterPolicy"​ +
-        xmlns="​urn:​mace:​shibboleth:​2.0:​afp"​ +
-        xmlns:​xsi="​http://​www.w3.org/​2001/​XMLSchema-instance"​ +
-        xsi:​schemaLocation="​urn:​mace:​shibboleth:​2.0:​afp http://​shibboleth.net/​schema/​idp/​shibboleth-afp.xsd">​+
  
-   <​!-- Attribute an die DFN-Test-IdPs freigeben --> 
-   <​AttributeFilterPolicy id="​dfn-test-sps">​ 
-        <​PolicyRequirementRule xsi:​type="​OR">​ 
-            <Rule xsi:​type="​Requester"​ value="​https://​testsp.aai.dfn.de/​shibboleth"​ /> 
-            <Rule xsi:​type="​Requester"​ value="​https://​testsp2.aai.dfn.de/​shibboleth"​ /> 
-        </​PolicyRequirementRule>​ 
- 
-        <​AttributeRule attributeID="​uid" ​                   permitAny="​true"/>​ 
-        <​AttributeRule attributeID="​eduPersonPrincipalName"​ permitAny="​true"/>​ 
-        <​AttributeRule attributeID="​mail" ​                  ​permitAny="​true"/>​ 
-  </​AttributeFilterPolicy>​ 
- 
-</​AttributeFilterPolicy>​ 
-</​file>​ 
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​ Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​
 <code bash> <code bash>
-root@idp:/​opt/​shibboleth-idp# ​service tomcat8 ​restart+root@idp:/​opt/​shibboleth-idp# ​systemctl ​restart ​tomcat8
 </​code>​ </​code>​
 +
 ==== Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test ==== ==== Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test ====
  
-Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe dazu +Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe hierzu unter [[de:functionaltest_idp|Funktionstest]].
-https://www.aai.dfn.de/​teilnahme/​funktionstest/​+
  
-Erst wenn diese Tests erfolgreich sind und Sie die Attribute '​uid',​ '​eduPersonPrincipalName' ​und '​mail'​ angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen!+Erst wenn diese Tests erfolgreich sind und Sie die Attribute '​uid',​ '​eduPersonPrincipalName'​'mail', '​surname'​ und '​givenName' angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen!
  
 ==== Optional: Attribute-Test mithilfe aacli ==== ==== Optional: Attribute-Test mithilfe aacli ====
Zeile 52: Zeile 35:
 Mit dem **Resolvertest (aacli)** besteht die Möglichkeit,​ die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/​aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/​access-control.xml):​ Mit dem **Resolvertest (aacli)** besteht die Möglichkeit,​ die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/​aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/​access-control.xml):​
 <code bash> <code bash>
-root@idp# ./aacli.sh -n test-clt -r https://​testsp3.aai.dfn.de/​shibboleth+root@idp# ./bin/aacli.sh -n test-clt -r https://​testsp3.aai.dfn.de/​shibboleth
 </​code>​ </​code>​
-(**-n** principal = user id; **-r** requester = entityId des anfragenden SP)+(**-n** principal = user id; **-r** requester = entityId des anfragenden SP) \\ 
 +Für die ausführliche Dokumentation konsultieren Sie bitte das [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​AACLI|Shibboleth Wiki]].
  
 Weiter geht es mit der [[de:​shibidp3config-zertifikate|Zertifikate]]-Konfiguration. Weiter geht es mit der [[de:​shibidp3config-zertifikate|Zertifikate]]-Konfiguration.
  
  • Zuletzt geändert: vor 4 Monaten