Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision |
de:shibidp3config-attribute [2020/05/11 16:13] – Silke Meyer | de:shibidp3config-attribute [2021/04/26 14:53] – als deprecated markiert Silke Meyer |
---|
====== Konfiguration Attribut-Generierung und -Freigabe====== | ====== Konfiguration Attribut-Generierung und -Freigabe====== |
| <callout color="#ff9900" title="Veraltete IdP-Version!"> |
| </callout> |
| |
Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://download.aai.dfn.de/ws/2019_hlm/attribute.pdf|Präsentation von einem der DFN-AAI Workshops]]. | Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://download.aai.dfn.de/ws/2019_hlm/attribute.pdf|Präsentation von einem der DFN-AAI Workshops]]. |
Mit den folgenden beiden Konfigurationsdateien sollte ein erster Test gegen die DFN-Test-SPs schnell gelingen: | Mit den folgenden beiden Konfigurationsdateien sollte ein erster Test gegen die DFN-Test-SPs schnell gelingen: |
| |
====== Minimale attribute-resolver.xml ====== | ===== Minimale attribute-resolver.xml ===== |
| |
Laden Sie unsere Beispieldatei herunter und legen Sie diese nach ''./conf/attribute-resolver.xml''. Sie dient in erster Linie zu Testzwecken bei der Erstinstallation eines Shibboleth IdP. Die Werte für ''sourceAttributeID'' müssen ggf. den Attributnamen im lokalen IdM bzw. Nutzerverzeichnis angepasst werden. Für den späteren Produktivbetrieb müssen i.d.R. noch mindestens die Definitionen der für den Bibliotheksbereich relevanten Attribute ''eduPerson(Scoped)Affiliation'' und ''eduPersonEntitlement'' ergänzt werden, siehe die entsprechende [[de:shibidp:config-attributes-publishers|Dokumentation]]. | Laden Sie unsere Beispieldatei herunter und legen Sie diese nach ''./conf/attribute-resolver.xml''. Sie dient in erster Linie zu Testzwecken bei der Erstinstallation eines Shibboleth IdP. Die Werte für ''sourceAttributeID'' müssen ggf. den Attributnamen im lokalen IdM bzw. Nutzerverzeichnis angepasst werden. Für den späteren Produktivbetrieb müssen i.d.R. noch mindestens die Definitionen der für den Bibliotheksbereich relevanten Attribute ''eduPerson(Scoped)Affiliation'' und ''eduPersonEntitlement'' ergänzt werden, siehe die entsprechende [[de:shibidp:config-attributes-publishers|Dokumentation]]. |
<DisplayDescription xml:lang="en">Local User Id</DisplayDescription> | <DisplayDescription xml:lang="en">Local User Id</DisplayDescription> |
<DisplayDescription xml:lang="de">Nutzerkennung der Heimateinrichtung</DisplayDescription> | <DisplayDescription xml:lang="de">Nutzerkennung der Heimateinrichtung</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:uid" encodeType="false" /> | |
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.1" friendlyName="uid" encodeType="false" /> | <AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.1" friendlyName="uid" encodeType="false" /> |
</AttributeDefinition> | </AttributeDefinition> |
<DisplayDescription xml:lang="en">A unique identifier for a person, mainly for inter-institutional user identification</DisplayDescription> | <DisplayDescription xml:lang="en">A unique identifier for a person, mainly for inter-institutional user identification</DisplayDescription> |
<DisplayDescription xml:lang="de">Eindeutige, einrichtungsübergreifende Nutzerkennung</DisplayDescription> | <DisplayDescription xml:lang="de">Eindeutige, einrichtungsübergreifende Nutzerkennung</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1ScopedString" name="urn:mace:dir:attribute-def:eduPersonPrincipalName" encodeType="false" /> | |
<AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" encodeType="false" /> | <AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" encodeType="false" /> |
</AttributeDefinition> | </AttributeDefinition> |
<DisplayDescription xml:lang="en">E-Mail address</DisplayDescription> | <DisplayDescription xml:lang="en">E-Mail address</DisplayDescription> |
<DisplayDescription xml:lang="de">E-Mail Adresse</DisplayDescription> | <DisplayDescription xml:lang="de">E-Mail Adresse</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" /> | |
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" /> | <AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" /> |
</AttributeDefinition> | </AttributeDefinition> |
<DisplayDescription xml:lang="en">Surname or family name</DisplayDescription> | <DisplayDescription xml:lang="en">Surname or family name</DisplayDescription> |
<DisplayDescription xml:lang="de">Familienname des Nutzers bzw. der Nutzerin</DisplayDescription> | <DisplayDescription xml:lang="de">Familienname des Nutzers bzw. der Nutzerin</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" /> | |
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:2.5.4.4" friendlyName="sn" encodeType="false" /> | <AttributeEncoder xsi:type="SAML2String" name="urn:oid:2.5.4.4" friendlyName="sn" encodeType="false" /> |
</AttributeDefinition> | </AttributeDefinition> |
<DisplayDescription xml:lang="en">Given name of a person</DisplayDescription> | <DisplayDescription xml:lang="en">Given name of a person</DisplayDescription> |
<DisplayDescription xml:lang="de">Vorname des Nutzers bzw. der Nutzerin</DisplayDescription> | <DisplayDescription xml:lang="de">Vorname des Nutzers bzw. der Nutzerin</DisplayDescription> |
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" /> | |
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:2.5.4.42" friendlyName="givenName" encodeType="false" /> | <AttributeEncoder xsi:type="SAML2String" name="urn:oid:2.5.4.42" friendlyName="givenName" encodeType="false" /> |
</AttributeDefinition> | </AttributeDefinition> |
</code> | </code> |
| |
==== Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test ==== | ===== Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test ===== |
| |
Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe hierzu unter [[de:functionaltest_idp|Funktionstest]]. | Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe hierzu unter [[de:functionaltest_idp|Funktionstest]]. |
Erst wenn diese Tests erfolgreich sind und Sie die Attribute 'uid', 'eduPersonPrincipalName', 'mail', 'surname' und 'givenName' angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen! | Erst wenn diese Tests erfolgreich sind und Sie die Attribute 'uid', 'eduPersonPrincipalName', 'mail', 'surname' und 'givenName' angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen! |
| |
==== Optional: Attribute-Test mithilfe aacli ==== | ===== Optional: Attribute-Test mithilfe aacli ===== |
| |
Mit dem **Resolvertest (aacli)** besteht die Möglichkeit, die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/access-control.xml): | Mit dem **Resolvertest (aacli)** besteht die Möglichkeit, die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/access-control.xml): |
Weiter geht es mit der [[de:shibidp3config-zertifikate|Zertifikate]]-Konfiguration. | Weiter geht es mit der [[de:shibidp3config-zertifikate|Zertifikate]]-Konfiguration. |
| |
{{tag>idp3}} | {{tag>idp3 deprecated}} |