Dies ist eine alte Version des Dokuments!

Konfiguration Attribut-Generierung und -Freigabe

Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser Präsentation von einem der DFN-AAI Workshops.

Die Erzeugung und Freigabe der SAML-Attribute wird über die Dateien .conf/attribute-resolver.xml, attribute-filter.xml und FIXME gesteuert. Als nächstes laden Sie sich hier ein funktionierendes Minimalbeispiel herunter und testen damit, ob Ihr IdP Attribute an unseren Test-SP übermittelt.

Minimale attribute-resolver.xml

Die zentrale Konfigurationsdatei für die Generierung von Attributen ist ./conf/attribute-resolver.xml. Hier definieren Sie, welche Attribute Ihr Shibboleth-IdP kennt, aus welchen Quellen dafür Attribute geholt werden und ggf. wie sie im IdP umgebaut werden sollen. Shibboleth liefert eine umfangreiche Beispieldatei ./conf/attribute-resolver-full.xml mit. Um es zunächst übersichtlicher zu halten, laden Sie sich bitte unsere Beispieldatei herunter und legen Sie sie nach ./conf/attribute-resolver.xml.

IdP 4.x

Die attribute-resolver.xml aus einer IdP 3.x-Installation kann nicht einfach in eine Neuinstallation von IdP 4.x hineinkopiert werden!

Laden Sie das Servlet neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): 

root@idp:~# touch /opt/shibboleth-idp/war/idp.war

attribute-filter.xml für die DFN-AAI Test-SP

Laden Sie unsere Beispieldatei herunter und legen Sie diese nach ./conf/attribute-filter.xml.

Laden Sie wieder die Konfiguration neu: 

root@idp:~# touch /opt/shibboleth-idp/war/idp.war

Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test

Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe hierzu unter Funktionstest.

Erst wenn diese Tests erfolgreich sind und Sie die Attribute 'uid', 'eduPersonPrincipalName', 'mail', 'surname' und 'givenName' angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen!

Optional: Attribute-Test mithilfe aacli

Mit dem Resolvertest (aacli) besteht die Möglichkeit, die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/access-control.xml): 

root@idp# ./bin/aacli.sh -n test-clt -r https://testsp3.aai.dfn.de/shibboleth

(-n principal = user id; -r requester = entityId des [simuliert] anfragenden SP)
Für die ausführliche Dokumentation konsultieren Sie bitte das Shibboleth Wiki.

Weiter geht es mit der Zertifikate-Konfiguration.

  • Zuletzt geändert: vor 4 Jahren