Dies ist eine alte Version des Dokuments!

Attribute-Konfiguration

Erzeugung und Freigabe der SAML-Attribute wird weiterhin über die Dateien attribute-resolver.xml und attribute-filter.xml gesteuert. Diese unterscheiden sich syntaktisch und semantisch leicht von den gewohnten Dateien im IdP 2.x.

Mit den folgenden beiden Konfigurationsdateien sollte ein erster Test gegen die DFN-Test-SPs schnell gelingen:

Minimal-attribute-resolver.xml

Laden Sie unsere Beispiel-Datei heruntern und legen Sie diese nach ./conf/attribute-resolver.xml

Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): 

root@idp:/opt/shibboleth-idp# service tomcat8 restart

attribute-filter.xml für die DFN-AAI-Test

/opt/shibboleth-idp/conf/attribute-filter.xml
<?xml version="1.0" encoding="UTF-8"?>
<AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
        xmlns="urn:mace:shibboleth:2.0:afp"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
 
   <!-- Attribute an die DFN-Test-IdPs freigeben -->
   <AttributeFilterPolicy id="dfn-test-sps">
        <PolicyRequirementRule xsi:type="OR">
            <Rule xsi:type="Requester" value="https://testsp.aai.dfn.de/shibboleth" />
            <Rule xsi:type="Requester" value="https://testsp2.aai.dfn.de/shibboleth" />
        </PolicyRequirementRule>
 
        <AttributeRule attributeID="uid"                    permitAny="true"/>
        <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
        <AttributeRule attributeID="mail"                   permitAny="true"/>
  </AttributeFilterPolicy>
 
</AttributeFilterPolicy>

Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): 

root@idp:/opt/shibboleth-idp# service tomcat8 restart

Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test

Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe dazu https://www.aai.dfn.de/teilnahme/funktionstest/

Erst wenn diese Tests erfolgreich sind und Sie die Attribute 'uid', 'eduPersonPrincipalName' und 'mail' angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen!

Optional: Attribute-Test mithilfe aacli

Mit dem Resolvertest (aacli) besteht die Möglichkeit, die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/access-control.xml): 

root@idp# ./aacli.sh -n test-clt -r https://testsp3.aai.dfn.de/shibboleth

(-n principal = user id; -r requester = entityId des anfragenden SP)

Weiter geht es mit der Zertifikate-Konfiguration.

  • Zuletzt geändert: vor 7 Jahren