Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp3attributes-aaiplus [2021/03/14 14:42] – Wolfgang Pempe | de:shibidp:config-attributes-aaiplus [2021/06/18 10:39] – [IdP 4.x] Wolfgang Pempe |
---|
===== Attribute Resolver ===== | ===== Attribute Resolver ===== |
| |
Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp3userdepro#verlaesslichkeit_von_queries|User Deprovisionierung]]. | Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp:config-deprovisionierung#verlaesslichkeit_von_queries|User Deprovisionierung]]. |
| |
| |
| |
\\ | |
| |
FIXME Deployment-Empfehlungen bzgl. [[https://issues.shibboleth.net/jira/browse/IDP-1674|pairwise-id]] für Neuinstallationen | |
| |
\\ | \\ |
</file> | </file> |
| |
| <callout type="danger" title="Obacht bei Hashfunktion"> |
| Existiert bereits eine AttributeDefinition für **eduPersonUniqueId**, sollte die hierfür verwendete Hashfunktion nachgenutzt werden, da andernfalls Identitätsverlust bei Service Providern droht, die dieses Attribut zur Personalisierung nutzen! |
| |
| In diesem Fall können Scope und Wert direkt nach samlSubjectID übernommen werden: |
| <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> |
| <AttributeDefinition id="samlSubjectID" xsi:type="Prescoped"> |
| <InputAttributeDefinition ref="eduPersonUniqueId" /> |
| </AttributeDefinition> |
| </file> |
| </callout> |
===== Attribute Filter ===== | ===== Attribute Filter ===== |
Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden. | Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden. |
| |
Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein Entity Attribut signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies. | Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein [[de:entity_attributes#spbenoetigte_subject_identifier_attribute|Entity Attribut]] signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies. |
| |
<file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
<AttributeFilterPolicy id="releaseToAAIplus"> | <AttributeFilterPolicy id="releaseToAAIplus"> |
| |
<PolicyRequirementRule | <PolicyRequirementRule |
attributeName="http://macedir.org/entity-category" | attributeName="http://macedir.org/entity-category" |
attributeValue="http://aai.dfn.de/category/aai-plus" /> | attributeValue="http://aai.dfn.de/category/aai-plus" /> |
| |
<AttributeRule attributeID="samlSubjectID"> | |
<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="samlPairwiseID"> | |
<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/> | |
</AttributeRule> | |
| |
<AttributeRule attributeID="displayName"> | <AttributeRule attributeID="displayName"> |
<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/> | <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/> |
</AttributeRule> | </AttributeRule> |
| |
| </AttributeFilterPolicy> |
| |
| |
| <AttributeFilterPolicy id="releaseSubjectIdToAAIplus"> |
| |
| <PolicyRequirementRule xsi:type="AND"> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| attributeValue="subject-id" /> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="http://macedir.org/entity-category" |
| attributeValue="http://aai.dfn.de/category/aai-plus" /> |
| </PolicyRequirementRule> |
| |
| <AttributeRule attributeID="samlSubjectID" permitAny="true"/> |
| </AttributeFilterPolicy> |
| |
| |
| <AttributeFilterPolicy id="releasePairwiseIdToAAIplus"> |
| |
| <PolicyRequirementRule xsi:type="AND"> |
| <Rule xsi:type="OR"> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| attributeValue="pairwise-id" /> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req" |
| attributeValue="any" /> |
| </Rule> |
| <Rule xsi:type="EntityAttributeExactMatch" |
| attributeName="http://macedir.org/entity-category" |
| attributeValue="http://aai.dfn.de/category/aai-plus" /> |
| </PolicyRequirementRule> |
| |
</AttributeFilterPolicy> | <AttributeRule attributeID="samlPairwiseID" permitAny="true"/> |
| </AttributeFilterPolicy> |
| |
</file> | </file> |
</file> | </file> |
| |
{{tag>idp4 subjectIdentifierAttributes aaiplus}} | {{tag>idp4 subjectIdentifierAttributes aaiplus attributfreigabe}} |