Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3pidspecials [2017/02/08 15:59]
Raoul Gunnar Borenius [Sonderfälle bei Generierung und Weitergabe der Persistent ID]
de:shibidp3pidspecials [2019/08/26 11:43] (aktuell)
Silke Meyer [Weitergabe der persistentId nur an bestimmte SPs]
Zeile 5: Zeile 5:
 ===== Generierung des Quellattributes mithilfe von zwei IdM-Attributen ===== ===== Generierung des Quellattributes mithilfe von zwei IdM-Attributen =====
  
-Beispiel der Hochschule Bremen zur Generierung des Quellattributes zur persistentId mithilfe ​des Attributes ​"​uidNumber":​+Beispiel der Hochschule Bremen zur Generierung des Quellattributes zur persistentId mithilfe ​von "​uid"​ und "​uidNumber":​
  
 <file xml attribute-resolver.xml>​ <file xml attribute-resolver.xml>​
  <​AttributeDefinition xsi:​type="​ScriptedAttribute"​ id="​uniqueIdentifier"​ >  <​AttributeDefinition xsi:​type="​ScriptedAttribute"​ id="​uniqueIdentifier"​ >
-    <Dependency ​ref="​uid"​ />        +    <InputAttributeDefinition ​ref="​uid"​ />        
-    <Dependency ​ref="​uidNumber"​ />       +    <InputAttributeDefinition ​ref="​uidNumber"​ />       
     <​Script>​     <​Script>​
             <​![CDATA[             <​![CDATA[
Zeile 19: Zeile 19:
                     uniqueIdentifier.getValues().add(newIdentifier);​                     uniqueIdentifier.getValues().add(newIdentifier);​
            ​]]> ​                  ​]]> ​      
-    <​Script>​+    </Script>
 </​AttributeDefinition>​ </​AttributeDefinition>​
 </​file>​ </​file>​
 +
 +===== Weitergabe der persistentId nur an bestimmte SPs =====
 +
 +Sofern Sie die persistendId nicht pauschal an alle SPs weitergeben wollen, kann dies in einem RelyingPartyOverride definiert werden.
 +
 +Dazu muss folgendes gemacht werden:
 +
 +  * im Default-Block wird nur die TransientId released
 +  * einen Override definieren in dem für gewissen entityIds die presistentId released wird.
 +
 +<file xml relying-party.xml>​
 +<beans ...>
 +  <!-- ... -->
 +  <bean id="​shibboleth.DefaultRelyingParty"​ parent="​RelyingParty">​
 +    <​property name="​profileConfigurations">​
 +       <​list>​
 +         <​bean parent="​Shibboleth.SSO" ​
 +               ​p:​postAuthenticationFlows="#​{{'​terms-of-use',​ '​attribute-release'​}}"​ />
 +         <​!-- ... -->
 +         <​bean parent="​SAML2.SSO" ​
 +               ​p:​postAuthenticationFlows="#​{{'​terms-of-use',​ '​attribute-release'​}}" ​
 +               ​p:​nameIDFormatPrecedence="​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​transient"​ />
 +         <​!-- ... -->
 +        </​list>​
 +    </​property>​
 +  </​bean>​
 +  <​util:​list id="​shibboleth.RelyingPartyOverrides">​
 +     <​!-- ... -->
 +     <​!-- komma-separierte Liste der Entity IDs der berechtigten SPs, hier inkl. DFNConf -->
 +     <​bean parent="​RelyingPartyByName" ​
 +         ​c:​relyingPartyIds="#​{{'​https://​testsp3.aai.dfn.de/​shibboleth',​ '​https://​testsp2.aai.dfn.de/​shibboleth',​ '​https://​webconf.vc.dfn.de/​shibboleth',​ '​https://​my.conf.dfn.de/​shibboleth',​ '​https://​self.conf.dfn.de/​shibboleth',​ '​https://​www.conf.dfn.de/​shibboleth'​}}">​
 +         <​property name="​profileConfigurations">​
 +           <​list>​
 +             <​bean parent="​SAML2.SSO" ​
 +                   ​p:​postAuthenticationFlows="#​{{'​terms-of-use',​ '​attribute-release'​}}"​
 +                   ​p:​nameIDFormatPrecedence="#​{{'​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent',​ '​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​transient'​}}"​ />
 +              <ref bean="​SAML2.Logout"​ />
 +              <ref bean="​SAML2.AttributeQuery"​ />
 +              <ref bean="​SAML2.ArtifactResolution"​ />
 +           </​list>​
 +         </​property>​
 +     </​bean>​
 +  </​util:​list>​
 +</​beans>​
 +</​file>​
 +
 +
 ===== Freigabe in Abhängigkeit zu anderen Attributen ===== ===== Freigabe in Abhängigkeit zu anderen Attributen =====
 Möchte man die Freigabe der persistentId an einen SP weiter einschränken,​ ähnlich den [[de:​shibidp3attrfilter|Attribut-Filterregeln]],​ ohne dabei den [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​NameIDGenerationConfiguration#​NameIDGenerationConfiguration-V2Compatibility|V2-Legacy-Support]] zu aktivieren so muss man etwas tüfteln. Möchte man die Freigabe der persistentId an einen SP weiter einschränken,​ ähnlich den [[de:​shibidp3attrfilter|Attribut-Filterregeln]],​ ohne dabei den [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​NameIDGenerationConfiguration#​NameIDGenerationConfiguration-V2Compatibility|V2-Legacy-Support]] zu aktivieren so muss man etwas tüfteln.
  • Zuletzt geändert: vor 3 Jahren