Dies ist eine alte Version des Dokuments!
Konfiguration Attribut-Generierung und -Freigabe
Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser Präsentation von einem der DFN-AAI Workshops.
Die Erzeugung und Freigabe der SAML-Attribute wird über die Dateien .conf/attribute-resolver.xml
, attribute-filter.xml
und gesteuert. Als nächstes laden Sie sich hier ein funktionierendes Minimalbeispiel herunter und testen damit, ob Ihr IdP Attribute an unseren Test-SP übermittelt.
Minimale attribute-resolver.xml
Die zentrale Konfigurationsdatei für die Generierung von Attributen ist ./conf/attribute-resolver.xml
. Hier definieren Sie, welche Attribute Ihr Shibboleth-IdP kennt, aus welchen Quellen dafür Attribute geholt werden und ggf. wie sie im IdP umgebaut werden sollen. Shibboleth liefert eine umfangreiche Beispieldatei ./conf/attribute-resolver-full.xml
mit. Um es zunächst übersichtlicher zu halten, laden Sie sich bitte unsere Beispieldatei herunter und legen Sie sie nach ./conf/attribute-resolver.xml
.
IdP 4.x
Die attribute-resolver.xml aus einer IdP 3.x-Installation kann nicht einfach in eine Neuinstallation von IdP 4.x hineinkopiert werden!Laden Sie das Servlet neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
root@idp:~# touch /opt/shibboleth-idp/war/idp.war
attribute-filter.xml für die DFN-AAI Test-SP
Laden Sie unsere Beispieldatei herunter und legen Sie diese nach ./conf/attribute-filter.xml
.
Laden Sie wieder die Konfiguration neu:
root@idp:~# touch /opt/shibboleth-idp/war/idp.war
Attribute-Test mithilfe der Test-SPs in der DFN-AAI-Test
Bitte testen Sie jetzt die Attribute-Freigabe gegen unsere Test-SPs, siehe hierzu unter Funktionstest.
Erst wenn diese Tests erfolgreich sind und Sie die Attribute 'uid', 'eduPersonPrincipalName', 'mail', 'surname' und 'givenName' angezeigt bekommen, sollten Sie mit der IdP-Konfiguration weiter machen!
Optional: Attribute-Test mithilfe aacli
Mit dem Resolvertest (aacli) besteht die Möglichkeit, die Attributfreigabe für eine(n) bestimmte(n) Nutzer(in) gegenüber einem bestimmten SP zu testen. Der Aufruf von bin/aacli.sh generiert einen URL, der dann z.B. im Browser eingegeben werden kann (auch hier Zugriffskontrolle über conf/access-control.xml):
root@idp# ./bin/aacli.sh -n test-clt -r https://testsp3.aai.dfn.de/shibboleth
(-n principal = user id; -r requester = entityId des [simuliert] anfragenden SP)
Für die ausführliche Dokumentation konsultieren Sie bitte das Shibboleth Wiki.
Weiter geht es mit der Zertifikate-Konfiguration.