Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3config-attribute [2017/03/12 01:54]
Wolfgang Pempe [Attribute-Konfiguration]
de:shibidp3config-attribute [2019/09/19 11:28] (aktuell)
Wolfgang Pempe [Optional: Attribute-Test mithilfe aacli]
Zeile 1: Zeile 1:
-==== Attribute-Konfiguration ====+====== Konfiguration ​Attribut-Generierung und -Freigabe====== 
 + 
 +Zum grundlegenden Verständnis der Attribut-Generierung,​ -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://​download.aai.dfn.de/​ws/​2019_hlm/​attribute.pdf|Präsentation von einem der DFN-AAI Workshops]].
  
 Erzeugung und Freigabe der SAML-Attribute wird weiterhin über die Dateien attribute-resolver.xml und attribute-filter.xml gesteuert. Diese unterscheiden sich syntaktisch und semantisch leicht von den gewohnten Dateien im IdP 2.x. Erzeugung und Freigabe der SAML-Attribute wird weiterhin über die Dateien attribute-resolver.xml und attribute-filter.xml gesteuert. Diese unterscheiden sich syntaktisch und semantisch leicht von den gewohnten Dateien im IdP 2.x.
Zeile 11: Zeile 13:
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​ Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​
 <code bash> <code bash>
-root@idp:/​opt/​shibboleth-idp# ​service tomcat8 ​restart+root@idp:/​opt/​shibboleth-idp# ​systemctl ​restart ​tomcat8
 </​code>​ </​code>​
  
-=== attribute-filter.xml für die DFN-AAI-Test ===+=== attribute-filter.xml für die DFN-AAI Test-SP ===
  
 Laden Sie unsere [[de:​attribute-filter-example|Beispieldatei]] herunter und legen Sie diese nach ./​conf/​attribute-filter.xml. Laden Sie unsere [[de:​attribute-filter-example|Beispieldatei]] herunter und legen Sie diese nach ./​conf/​attribute-filter.xml.
Zeile 20: Zeile 22:
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​ Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​
 <code bash> <code bash>
-root@idp:/​opt/​shibboleth-idp# ​service tomcat8 ​restart+root@idp:/​opt/​shibboleth-idp# ​systemctl ​restart ​tomcat8
 </​code>​ </​code>​
  
 ==== Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test ==== ==== Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test ====
  
-Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe dazu +Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe hierzu unter [[de:functionaltest_idp|Funktionstest]].
-https://www.aai.dfn.de/​teilnahme/​funktionstest/​+
  
 Erst wenn diese Tests erfolgreich sind und Sie die Attribute '​uid',​ '​eduPersonPrincipalName',​ '​mail',​ '​surname'​ und '​givenName'​ angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen! Erst wenn diese Tests erfolgreich sind und Sie die Attribute '​uid',​ '​eduPersonPrincipalName',​ '​mail',​ '​surname'​ und '​givenName'​ angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen!
Zeile 34: Zeile 35:
 Mit dem **Resolvertest (aacli)** besteht die Möglichkeit,​ die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/​aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/​access-control.xml):​ Mit dem **Resolvertest (aacli)** besteht die Möglichkeit,​ die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/​aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/​access-control.xml):​
 <code bash> <code bash>
-root@idp# ./aacli.sh -n test-clt -r https://​testsp3.aai.dfn.de/​shibboleth+root@idp# ./bin/aacli.sh -n test-clt -r https://​testsp3.aai.dfn.de/​shibboleth
 </​code>​ </​code>​
-(**-n** principal = user id; **-r** requester = entityId des anfragenden SP)+(**-n** principal = user id; **-r** requester = entityId des [simuliert] ​anfragenden SP) \\ 
 +Für die ausführliche Dokumentation konsultieren Sie bitte das [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​AACLI|Shibboleth Wiki]].
  
 Weiter geht es mit der [[de:​shibidp3config-zertifikate|Zertifikate]]-Konfiguration. Weiter geht es mit der [[de:​shibidp3config-zertifikate|Zertifikate]]-Konfiguration.
  
  • Zuletzt geändert: vor 3 Jahren