Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
de:shibidp3userdepro [2019/08/28 09:24]
Wolfgang Pempe
de:shibidp3userdepro [2019/08/28 09:31]
Wolfgang Pempe [Verlässlichkeit von Queries]
Zeile 146: Zeile 146:
 Um den LDAP nicht mit **Karteileichen** vollzumüllen,​ so wäre eine Möglichkeit die Struktur des LDAP wie folgt zu erweitern: Um den LDAP nicht mit **Karteileichen** vollzumüllen,​ so wäre eine Möglichkeit die Struktur des LDAP wie folgt zu erweitern:
  
-   * ou=users,​dc=einrichtung,​dc=de (nur aktive Nutzer) +   ​* ​''​ou=users,​dc=einrichtung,​dc=de'' ​(nur aktive Nutzer) 
-   * ou=archive,​dc=einrichtung,​dc=de +   ​* ​''​ou=archive,​dc=einrichtung,​dc=de''​ 
-      * ou=users,​ou=archive,​dc=einrichtung,​dc=de (nur archivierte Nutzer) +      * ''​ou=users,​ou=archive,​dc=einrichtung,​dc=de'' ​(nur archivierte Nutzer) 
-         * ou=disabled,​ou=users,​ou=archive,​dc=einrichtung,​dc=de (gelöscht, kann aber wieder angelegt werden) +         ​* ​''​ou=disabled,​ou=users,​ou=archive,​dc=einrichtung,​dc=de'' ​(gelöscht, kann aber wieder angelegt werden) 
-         * ou=locked,​ou=users,​ou=archive,​dc=einrichtung,​dc=de (vorübergehend gesperrt, z.B. aus Sicherheitsgründen) +         ​* ​''​ou=locked,​ou=users,​ou=archive,​dc=einrichtung,​dc=de'' ​(vorübergehend gesperrt, z.B. aus Sicherheitsgründen) 
-         * ou=deleted,​ou=users,​ou=archive,​dc=einrichtung,​dc=de (endgültig gelöschte Nutzer, falls die Identitäten noch gespeichert werden sollen, z.B. um sicherzustellen,​ dass User IDs nicht neu vergeben werden) +         ​* ​''​ou=deleted,​ou=users,​ou=archive,​dc=einrichtung,​dc=de'' ​(endgültig gelöschte Nutzer, falls die Identitäten noch gespeichert werden sollen, z.B. um sicherzustellen,​ dass User IDs nicht neu vergeben werden) 
-Scheidet ein Nutzer aus oder muss z.B. auf Grund eines Sicherheitsvorfalls kurzfristig deaktiviert werden, so verschiebt man diesen zunächst nach "locked".\\+Scheidet ein Nutzer aus oder muss z.B. auf Grund eines Sicherheitsvorfalls kurzfristig deaktiviert werden, so verschiebt man diesen zunächst nach ''​locked''​.\\
 Damit kann er sich schon mal nicht mehr am IdP authentifizieren (da nicht mehr im baseDN).\\ Damit kann er sich schon mal nicht mehr am IdP authentifizieren (da nicht mehr im baseDN).\\
-Kommt der Nutzer nach x-Tagen nicht mehr zurück an die Einrichtung so kann man ihn dauerhaft löschen und nach "disabled" ​oder "deleted" ​verschieben.+Kommt der Nutzer nach x-Tagen nicht mehr zurück an die Einrichtung so kann man ihn dauerhaft löschen und nach ''​disabled'' ​oder ''​deleted'' ​verschieben.
  
-Generell reicht es zu, wenn die Einträge unter "ou=archive" ​nur noch die "​uid"​ beinhalten und nicht mehr alle Attribute. (das spart Speicher ^^)+Generell reicht es zu, wenn die Einträge unter ''​ou=archive'' ​nur noch die "​uid"​ beinhalten und nicht mehr alle Attribute. (das spart Speicher ^^)
  
 Jetzt definieren wir im IdP das Attribut [[https://​wiki.refeds.org/​display/​STAN/​SCHAC+Releases|schacUserStatus]],​ das den Status der betreffenden Identität abbilden soll: Jetzt definieren wir im IdP das Attribut [[https://​wiki.refeds.org/​display/​STAN/​SCHAC+Releases|schacUserStatus]],​ das den Status der betreffenden Identität abbilden soll:
Zeile 245: Zeile 245:
    * ''​urn:​schac:​userStatus:​de:​aai.dfn.de:​idmStatus:​locked''​    * ''​urn:​schac:​userStatus:​de:​aai.dfn.de:​idmStatus:​locked''​
    * ''​urn:​schac:​userStatus:​de:​aai.dfn.de:​idmStatus:​deleted''​    * ''​urn:​schac:​userStatus:​de:​aai.dfn.de:​idmStatus:​deleted''​
-    ​+   *  
 +Als Beispiel für eine Attribute Query, die ein solches Attribut liefert, kann dieser URL genutzt werden: \\ 
 +https://​testsp3.aai.dfn.de/​Shibboleth.sso/​AttributeResolver?​entityID=https://​testidp.aai.dfn.de/​idp/​shibboleth&​nameId=MCE6NXEQ3FC3PUKY4M75EYCOWN4TGKBH&​format=urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent
 =====Queries einschränken===== =====Queries einschränken=====
  
  • Zuletzt geändert: vor 4 Wochen