Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3storage [2017/09/07 08:48] – [Weitergabe der Persistent ID] Raoul Gunnar Borenius | de:shibidp3storage [2019/01/21 11:32] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Server-Side-Storage und Persistent Identifier ====== | + | ====== Server-Side-Storage, Sessions, User Consent |
- | Per default werden Informationen zu User Consent (ehemals uApprove) und Persistent IDs client-seitig in Cookies abgelegt. Dies kann aber nur als initiale " | + | Per default werden Informationen zu Sessions, |
- | Single-Logout). | + | |
+ | **Darüber hinaus kann nur auf diese Weise sichergestellt werden, dass bei Attribute Queries (SP fragt anhand eines Name Identifiers direkt beim IdP Nutzerdaten ab), die Entscheidungen des/der Nutzers/ | ||
===== Installation Datenbanksoftware ===== | ===== Installation Datenbanksoftware ===== | ||
Zeile 173: | Zeile 174: | ||
Damit werden die Usernamen vom IdP nur noch in Kleinbuchstabenform verarbeitet und in die Datenbank geschrieben. | Damit werden die Usernamen vom IdP nur noch in Kleinbuchstabenform verarbeitet und in die Datenbank geschrieben. | ||
- | ===== Session-Informationen und User Consent | + | ===== Session-Informationen und User Consent ===== |
- | Nachdem Datenbankverbindung und persistentId aktiviert sind, können diese nun für die Speicherung von Session- und User Consent-Informationen genutzt werden. Dadurch wird als netter Nebeneffekt auch SingleLogout- | + | Nachdem Datenbankverbindung und persistentId aktiviert sind, können diese nun für die Speicherung von Session- und User Consent-Informationen genutzt werden. Dadurch wird als netter Nebeneffekt auch [[de: |
- | Unterstützung im IdP ermöglicht: | + | |
<file properties / | <file properties / | ||
Zeile 188: | Zeile 188: | ||
# Set to " | # Set to " | ||
# to key user consent storage records (and set the attribute name) | # to key user consent storage records (and set the attribute name) | ||
- | idp.consent.userStorageKey = shibboleth.consent.AttributeConsentStorageKey | + | idp.consent.attribute-release.userStorageKey = shibboleth.consent.PrincipalConsentStorageKey |
- | idp.consent.userStorageKeyAttribute = %{idp.persistentId.sourceAttribute} | + | idp.consent.attribute-release.userStorageKeyAttribute = %{idp.persistentId.sourceAttribute} |
+ | idp.consent.terms-of-use.userStorageKey = shibboleth.consent.PrincipalConsentStorageKey | ||
+ | idp.consent.terms-of-use.userStorageKeyAttribute = %{idp.persistentId.sourceAttribute} | ||
# Flags controlling how built-in attribute consent feature operates | # Flags controlling how built-in attribute consent feature operates | ||
Zeile 202: | Zeile 204: | ||
# Verfügung steht sollte dieses sinnvolle Feature aktiviert werden! | # Verfügung steht sollte dieses sinnvolle Feature aktiviert werden! | ||
idp.consent.compareValues = true | idp.consent.compareValues = true | ||
+ | </ | ||
+ | |||
+ | ===== User Consent zu Attributfreigabe bei Attribute Queries berücksichtigen ===== | ||
+ | |||
+ | Damit bei Attribute Queries Nutzer-Entscheidungen zur Attributfreigabe berücksichtigt werden, muss in ./ | ||
+ | |||
+ | <file xml ./ | ||
+ | <!-- | ||
+ | Condition to evaluate to apply attribute-release consent to attribute queries. | ||
+ | --> | ||
+ | <bean id=" | ||
</ | </ | ||
Zeile 210: | Zeile 223: | ||
===== Weitergabe der Persistent ID ===== | ===== Weitergabe der Persistent ID ===== | ||
- | Um in den Fällen, in denen ein anfragender SP keine Präferenzen bzgl. Name ID Format signalisiert (Metadaten und/oder AuthnRequest), | + | Um in den Fällen, in denen ein anfragender SP keine Präferenzen bzgl. Name ID Format signalisiert (Metadaten und/oder AuthnRequest), |
<file xml / | <file xml / | ||
Zeile 238: | Zeile 251: | ||
persistentId übertragen wird. | persistentId übertragen wird. | ||
- | HINWEIS: Da die persistendId kein SAML-Attribut ist wird Ihnen diese nach dem Login am IdP nicht in der Liste der zu übertragenden Attribute angezeigt. Erst wenn Sie wieder am Test-SP sind wird Ihnen dort die persistentId zusammen mit den übertragenene | + | HINWEIS: Da die persistendId kein SAML-Attribut ist, wird Ihnen diese nach dem Login am IdP nicht in der Liste der zu übertragenden Attribute angezeigt. Erst wenn Sie wieder am Test-SP sind wird Ihnen dort die persistentId, sofern diese übertragen wurde, |
- | Falls Sie die persistentId nur an ausgewählte SPs übertragen | + | Falls die persistentId nur an ausgewählte SPs übertragen |
** Weiter geht es mit [[de: | ** Weiter geht es mit [[de: |