Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3pidspecials [2017/02/08 16:42]
Raoul Gunnar Borenius [Generierung des Quellattributes mithilfe von zwei IdM-Attributen]
de:shibidp3pidspecials [2019/08/26 11:43] (aktuell)
Silke Meyer [Weitergabe der persistentId nur an bestimmte SPs]
Zeile 9: Zeile 9:
 <file xml attribute-resolver.xml>​ <file xml attribute-resolver.xml>​
  <​AttributeDefinition xsi:​type="​ScriptedAttribute"​ id="​uniqueIdentifier"​ >  <​AttributeDefinition xsi:​type="​ScriptedAttribute"​ id="​uniqueIdentifier"​ >
-    <Dependency ​ref="​uid"​ />        +    <InputAttributeDefinition ​ref="​uid"​ />        
-    <Dependency ​ref="​uidNumber"​ />       +    <InputAttributeDefinition ​ref="​uidNumber"​ />       
     <​Script>​     <​Script>​
             <​![CDATA[             <​![CDATA[
Zeile 19: Zeile 19:
                     uniqueIdentifier.getValues().add(newIdentifier);​                     uniqueIdentifier.getValues().add(newIdentifier);​
            ​]]> ​                  ​]]> ​      
-    <​Script>​+    </Script>
 </​AttributeDefinition>​ </​AttributeDefinition>​
 </​file>​ </​file>​
Zeile 50: Zeile 50:
   <​util:​list id="​shibboleth.RelyingPartyOverrides">​   <​util:​list id="​shibboleth.RelyingPartyOverrides">​
      <​!-- ... -->      <​!-- ... -->
-     <​!-- komma-separierte Liste der Entity IDs der berechtigten SPs -->+     <​!-- komma-separierte Liste der Entity IDs der berechtigten SPs, hier inkl. DFNConf ​-->
      <​bean parent="​RelyingPartyByName" ​      <​bean parent="​RelyingPartyByName" ​
-         ​c:​relyingPartyIds="#​{{'​https://​testsp3.aai.dfn.de/​shibboleth',​ '​https://​testsp2.aai.dfn.de/​shibboleth'​}}">​+         ​c:​relyingPartyIds="#​{{'​https://​testsp3.aai.dfn.de/​shibboleth',​ '​https://​testsp2.aai.dfn.de/​shibboleth',​ '​https://​webconf.vc.dfn.de/​shibboleth',​ '​https://​my.conf.dfn.de/​shibboleth',​ '​https://​self.conf.dfn.de/​shibboleth',​ '​https://​www.conf.dfn.de/​shibboleth'​}}">​
          <​property name="​profileConfigurations">​          <​property name="​profileConfigurations">​
            <​list>​            <​list>​
              <​bean parent="​SAML2.SSO" ​              <​bean parent="​SAML2.SSO" ​
                    ​p:​postAuthenticationFlows="#​{{'​terms-of-use',​ '​attribute-release'​}}"​                    ​p:​postAuthenticationFlows="#​{{'​terms-of-use',​ '​attribute-release'​}}"​
-                   ​p:​nameIDFormatPrecedence="#​{{'​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent',​ '​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​transient'​}}+                   ​p:​nameIDFormatPrecedence="#​{{'​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent',​ '​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​transient'​}}"​ />
-                   />​ +
-              <ref bean="​SAML2.ECP" />+
               <ref bean="​SAML2.Logout"​ />               <ref bean="​SAML2.Logout"​ />
               <ref bean="​SAML2.AttributeQuery"​ />               <ref bean="​SAML2.AttributeQuery"​ />
               <ref bean="​SAML2.ArtifactResolution"​ />               <ref bean="​SAML2.ArtifactResolution"​ />
-              <ref bean="​Liberty.SSOS"​ /> 
            </​list>​            </​list>​
          </​property>​          </​property>​
Zeile 69: Zeile 66:
   </​util:​list>​   </​util:​list>​
 </​beans>​ </​beans>​
-</​file>​ 
- 
-=====Spezialfall eduPersonTargetedID===== 
- 
-Es kann Fälle geben, in denen Service Provider älterer Bauart nicht in der Lage sind, einen Persistent Name Identifier zu verarbeiten,​ sondern den entsprechenden Wert als Attribut empfangen und verarbeiten müssen. Üblicherweise handelt es sich dann um das Attribut eduPersonTargetedID. 
- 
-Diese kann folgendermassen erzeugt werden: 
- 
-<file xml /​opt/​shibboleth-idp/​conf/​attribute-resolver.xml>​ 
-  <!-- ... --> 
-  <​AttributeDefinition id="​eduPersonTargetedID"​ xsi:​type="​SAML2NameID"​ sourceAttributeID="​persistentID"​ 
-          nameIdFormat="​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent">​ 
-     <​Dependency ref="​myStoredId"​ /> 
-     <​AttributeEncoder xsi:​type="​SAML1XMLObject"​ name="​urn:​oid:​1.3.6.1.4.1.5923.1.1.1.10"​ /> 
-     <​AttributeEncoder xsi:​type="​SAML2XMLObject"​ name="​urn:​oid:​1.3.6.1.4.1.5923.1.1.1.10" ​ 
-          friendlyName="​eduPersonTargetedID"​ /> 
-  </​AttributeDefinition>​ 
-  ​ 
-  <!-- ... --> 
- 
-  <​DataConnector id="​myStoredId"​ 
-      xsi:​type="​StoredId"​ 
-      generatedAttributeID="​persistentID"​ 
-      sourceAttributeID="​%{idp.persistentId.sourceAttribute}"​ 
-      salt="​%{idp.persistentId.salt}"​ 
-      queryTimeout="​0">​ 
-      <​Dependency ref="​%{idp.persistentId.sourceAttribute}"​ /> 
-      <​BeanManagedConnection>​shibboleth.MySQLDataSource</​BeanManagedConnection>​ 
-  </​DataConnector>​ 
 </​file>​ </​file>​
  
  
-  * [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​StorageConfiguration|Shibboleth-Dokumentation:​ StorageConfiguration]] 
 ===== Freigabe in Abhängigkeit zu anderen Attributen ===== ===== Freigabe in Abhängigkeit zu anderen Attributen =====
 Möchte man die Freigabe der persistentId an einen SP weiter einschränken,​ ähnlich den [[de:​shibidp3attrfilter|Attribut-Filterregeln]],​ ohne dabei den [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​NameIDGenerationConfiguration#​NameIDGenerationConfiguration-V2Compatibility|V2-Legacy-Support]] zu aktivieren so muss man etwas tüfteln. Möchte man die Freigabe der persistentId an einen SP weiter einschränken,​ ähnlich den [[de:​shibidp3attrfilter|Attribut-Filterregeln]],​ ohne dabei den [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​NameIDGenerationConfiguration#​NameIDGenerationConfiguration-V2Compatibility|V2-Legacy-Support]] zu aktivieren so muss man etwas tüfteln.
  • Zuletzt geändert: vor 3 Jahren