Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:config-attributes-aaiplus [2021/03/14 12:35]
Wolfgang Pempe
de:shibidp:config-attributes-aaiplus [2021/08/20 17:56] (aktuell)
Wolfgang Pempe
Zeile 11: Zeile 11:
 ===== Attribute Resolver ===== ===== Attribute Resolver =====
  
-Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp3userdepro#verlaesslichkeit_von_queries|User Deprovisionierung]]. +Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp:config-deprovisionierung#verlaesslichkeit_von_queries|User Deprovisionierung]].
- +
- +
- +
-\\ +
- +
-FIXME Deployment-Empfehlungen bzgl. [[https://issues.shibboleth.net/jira/browse/IDP-1674|pairwise-id]] für Neuinstallationen  +
- +
-\\ +
- +
-==== IdP 4.x ====+
  
 <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml>
Zeile 129: Zeile 119:
 </file> </file>
  
 +<callout type="danger" title="Obacht bei Hashfunktion">
 +Existiert bereits eine AttributeDefinition für **eduPersonUniqueId**, sollte die hierfür verwendete Hashfunktion nachgenutzt werden, da andernfalls Identitätsverlust bei Service Providern droht, die dieses Attribut zur Personalisierung nutzen! 
  
 +In diesem Fall können Scope und Wert direkt nach **samlSubjectID** übernommen werden:
 +<file xml /opt/shibboleth-idp/conf/attribute-resolver.xml>
 +    <AttributeDefinition id="samlSubjectID" xsi:type="Prescoped">
 +        <InputAttributeDefinition ref="eduPersonUniqueId" />
 +    </AttributeDefinition>
 +</file>
 +</callout>
 ===== Attribute Filter ===== ===== Attribute Filter =====
 Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden. Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden.
  
-Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein Entity Attribut signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies.+Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein [[de:entity_attributes#spbenoetigte_subject_identifier_attribute|Entity Attribut]] signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies.
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
-    <AttributeFilterPolicy id="releaseToAAIplus">+     <AttributeFilterPolicy id="releaseToAAIplus">
  
        <PolicyRequirementRule         <PolicyRequirementRule 
Zeile 142: Zeile 141:
                attributeName="http://macedir.org/entity-category"                attributeName="http://macedir.org/entity-category"
                attributeValue="http://aai.dfn.de/category/aai-plus" />                attributeValue="http://aai.dfn.de/category/aai-plus" />
- 
-       <AttributeRule attributeID="samlSubjectID"> 
-          <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/> 
-       </AttributeRule> 
- 
-       <AttributeRule attributeID="samlPairwiseID"> 
-          <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/> 
-       </AttributeRule> 
  
        <AttributeRule attributeID="displayName">        <AttributeRule attributeID="displayName">
Zeile 186: Zeile 177:
           <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/>           <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/>
        </AttributeRule>        </AttributeRule>
 +    
 +    </AttributeFilterPolicy>
 +
 +
 +    <AttributeFilterPolicy id="releaseSubjectIdToAAIplus">
 +
 +        <PolicyRequirementRule xsi:type="AND"> 
 +             <Rule xsi:type="EntityAttributeExactMatch"
 +                   attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
 +                   attributeValue="subject-id" />
 +             <Rule xsi:type="EntityAttributeExactMatch"
 +                   attributeName="http://macedir.org/entity-category"
 +                   attributeValue="http://aai.dfn.de/category/aai-plus" />
 +        </PolicyRequirementRule>
 +
 +        <AttributeRule attributeID="samlSubjectID" permitAny="true"/>
 +    </AttributeFilterPolicy>  
 +
 +
 +    <AttributeFilterPolicy id="releasePairwiseIdToAAIplus">
 +
 +        <PolicyRequirementRule xsi:type="AND"> 
 +             <Rule xsi:type="OR">
 +                <Rule xsi:type="EntityAttributeExactMatch"
 +                      attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
 +                      attributeValue="pairwise-id" />
 +                <Rule xsi:type="EntityAttributeExactMatch"
 +                      attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
 +                      attributeValue="any" />
 +             </Rule>
 +             <Rule xsi:type="EntityAttributeExactMatch"
 +                   attributeName="http://macedir.org/entity-category"
 +                   attributeValue="http://aai.dfn.de/category/aai-plus" />
 +        </PolicyRequirementRule>
  
-</AttributeFilterPolicy>+        <AttributeRule attributeID="samlPairwiseID" permitAny="true"/> 
 +    </AttributeFilterPolicy>  
  
 </file> </file>
Zeile 233: Zeile 259:
 </file> </file>
  
-{{tag>idp4}}+{{tag>idp4 subjectIdentifierAttributes aaiplus attributfreigabe}}
  • Zuletzt geändert: vor 6 Monaten