Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp:config-attribute [2020/04/08 09:55] Silke Meyerde:shibidp:config-attribute [2020/04/16 09:24] (aktuell) – gelöscht Silke Meyer
Zeile 1: Zeile 1:
-====== Konfiguration Attribut-Generierung und -Freigabe====== 
- 
-Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://download.aai.dfn.de/ws/2019_hlm/attribute.pdf|Präsentation von einem der DFN-AAI Workshops]]. 
- 
-Die Erzeugung und Freigabe der SAML-Attribute wird über die Dateien ''.conf/attribute-resolver.xml'', ''attribute-filter.xml'' und FIXME gesteuert. Als nächstes laden Sie sich hier ein funktionierendes Minimalbeispiel herunter und testen damit, ob Ihr IdP Attribute an unseren Test-SP übermittelt.  
- 
-===== Minimale attribute-resolver.xml ===== 
- 
-Die zentrale Konfigurationsdatei für die //Generierung// von Attributen ist ''./conf/attribute-resolver.xml''. Hier definieren Sie 
-  * welche Attribute Ihr Shibboleth-IdP kennt, 
-  * aus welchen Quellen dafür Attribute geholt werden, 
-  * wie diese Attribute ggf. im IdP umgebaut werden sollen.  
- 
-Shibboleth liefert eine umfangreiche Beispieldatei ''./conf/attribute-resolver-full.xml'' mit. Um es zunächst übersichtlicher zu halten, laden Sie sich bitte unsere [[de:shibdip4-attribute-resolver-example|Beispieldatei]] herunter und legen Sie sie nach ''./conf/attribute-resolver.xml''. 
- 
-<callout type="danger" title="Neuerungen beim IdP 4.x"> 
-Die attribute-resolver.xml aus einer IdP 3.x-Installation kann nicht einfach in eine Neuinstallation von IdP 4.x hineinkopiert werden! 
-</callout> 
- 
-==== Beispiel Attribute Resolver ==== 
- 
-Das folgende Beispiel dient in erster Linie zu Testzwecken bei der Erstinstallation eines Shibboleth IdP 4.x. Die Werte für ''attributeNames'' müssen ggf. den Attributnamen in Ihrem IdM bzw. Nutzerverzeichnis angepasst werden. Für den späteren Produktivbetrieb müssen i.d.R. noch mindestens die Definitionen der für den Bibliotheksbereich relevanten Attribute ''eduPerson(Scoped)Affiliation'' und ''eduPersonEntitlement'' ergänzt werden, siehe die entsprechende [[de:shibidp3attributes-publishers|Dokumentation]].  
- 
-(Ein Klick auf den Dateinamen startet den Download)  
- 
-<file xml ./conf/attribute-resolver.xml> 
-<?xml version="1.0" encoding="UTF-8"?> 
-<AttributeResolver 
-        xmlns="urn:mace:shibboleth:2.0:resolver" 
-        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
-        xsi:schemaLocation="urn:mace:shibboleth:2.0:resolver http://shibboleth.net/schema/idp/shibboleth-attribute-resolver.xsd"> 
- 
-    <!-- ========================================== --> 
-    <!--      Attribute Definitions                 --> 
-    <!-- ========================================== --> 
- 
-    <!-- Attribute aus Userangaben --> 
- 
-    <AttributeDefinition id="uid" xsi:type="PrincipalName"> 
-    </AttributeDefinition> 
-     
-    <AttributeDefinition id="eduPersonPrincipalName" xsi:type="Scoped" scope="%{idp.scope}"> 
-        <InputAttributeDefinition ref="uid" /> 
-    </AttributeDefinition> 
- 
-    <!--- Attribute aus dem IdM --> 
- 
-    <AttributeDefinition id="mail" xsi:type="Simple"> 
-        <InputDataConnector ref="myLDAP" attributeNames="mail"/> 
-    </AttributeDefinition> 
- 
-    <AttributeDefinition id="surname" xsi:type="Simple"> 
-        <InputDataConnector ref="myLDAP" attributeNames="sn"/> 
-    </AttributeDefinition> 
- 
-    <AttributeDefinition id="givenName" xsi:type="Simple"> 
-        <InputDataConnector ref="myLDAP" attributeNames="givenName"/> 
-    </AttributeDefinition> 
- 
-    <!-- ========================================== --> 
-    <!--      Data Connectors                       --> 
-    <!-- ========================================== --> 
- 
-    <DataConnector id="myLDAP" xsi:type="LDAPDirectory" 
-        ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}" 
-        baseDN="%{idp.attribute.resolver.LDAP.baseDN}" 
-        principal="%{idp.attribute.resolver.LDAP.bindDN}" 
-        principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}" 
-        useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}" 
-        connectTimeout="%{idp.attribute.resolver.LDAP.connectTimeout}" 
-        trustFile="%{idp.attribute.resolver.LDAP.trustCertificates}" 
-        responseTimeout="%{idp.attribute.resolver.LDAP.responseTimeout}"> 
-        <FilterTemplate> 
-            <![CDATA[ 
-                %{idp.attribute.resolver.LDAP.searchFilter} 
-            ]]> 
-        </FilterTemplate> 
-        <ConnectionPool 
-            minPoolSize="%{idp.pool.LDAP.minSize:3}" 
-            maxPoolSize="%{idp.pool.LDAP.maxSize:10}" 
-            blockWaitTime="%{idp.pool.LDAP.blockWaitTime:PT3S}" 
-            validatePeriodically="%{idp.pool.LDAP.validatePeriodically:true}" 
-            validateTimerPeriod="%{idp.pool.LDAP.validatePeriod:PT5M}" 
-            expirationTime="%{idp.pool.LDAP.idleTime:PT10M}" 
-            failFastInitialize="%{idp.pool.LDAP.failFastInitialize:false}" /> 
-    </DataConnector> 
- 
-</AttributeResolver> 
-</file> 
- 
-Laden Sie das Servlet neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): 
- 
-<code bash> 
-root@idp:~# touch /opt/shibboleth-idp/war/idp.war 
-</code> 
- 
-===== attribute-filter.xml für die DFN-AAI Test-SP ===== 
- 
-Laden Sie unsere [[de:shibdip4-attribute-filter-example|Beispieldatei]] herunter und legen Sie diese nach ''./conf/attribute-filter.xml''. 
- 
-Laden Sie wieder die Konfiguration neu: 
-<code bash> 
-root@idp:~# touch /opt/shibboleth-idp/war/idp.war 
-</code> 
- 
-===== Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test ===== 
- 
-Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe hierzu unter [[de:functionaltest_idp|Funktionstest]]. 
- 
-Erst wenn diese Tests erfolgreich sind und Sie die Attribute 'uid', 'eduPersonPrincipalName', 'mail', 'surname' und 'givenName' angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen! 
- 
-===== Optional: Attribute-Test mithilfe aacli ===== 
- 
-Mit dem **Resolvertest (aacli)** besteht die Möglichkeit, die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/access-control.xml): 
-<code bash> 
-root@idp# ./bin/aacli.sh -n test-clt -r https://testsp3.aai.dfn.de/shibboleth 
-</code> 
-(**-n** principal = user id; **-r** requester = entityId des [simuliert] anfragenden SP) \\ 
-Für die ausführliche Dokumentation konsultieren Sie bitte das [[https://wiki.shibboleth.net/confluence/display/IDP30/AACLI|Shibboleth Wiki]]. 
- 
-Weiter geht es mit der [[de:shibidp3config-zertifikate|Zertifikate]]-Konfiguration. 
  
  • Zuletzt geändert: vor 6 Jahren