Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3attributes-aaiplus [2021/03/14 14:52] Wolfgang Pempede:shibidp:config-attributes-aaiplus [2022/05/02 14:32] (aktuell) Wolfgang Pempe
Zeile 3: Zeile 3:
 <callout type="danger" title="Work in Progress"> <callout type="danger" title="Work in Progress">
 Diese Seite ist noch im Aufbau begriffen! \\ Diese Seite ist noch im Aufbau begriffen! \\
-Das Konzept AAIplus sieht u.a. vor, die Entity Category ''http://aai.dfn.de/category/aai-plus'' an Service Provider zu vergeben, die ein Datenschutz-Audit absolvieren und im Gegenzug die Zusicherung erhalten, dass die vom jeweiligen SP benötigten Attribute von den teilnehmenden IdPs ohne weitere Rückfragen übertragen werden. Siehe hierzu einstweilen den Beitrag zum Thema in den [[https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_96_download.pdf|DFN-Mitteilungen Nr. 96]] (ab Seite 13). \\+Das Konzept AAIplus sieht u.a. vor, die Entity Category ''http://aai.dfn.de/category/aai-plus'' an Service Provider zu vergeben, die ein Datenschutz-Audit absolvieren und im Gegenzug die Zusicherung erhalten, dass die vom jeweiligen SP benötigten Attribute von den teilnehmenden IdPs ohne weitere Rückfragen übertragen werden. Siehe hierzu einstweilen den Beitrag zum Thema in den [[https://www2.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_96.pdf|DFN-Mitteilungen Nr. 96]] (ab Seite 13). \\
 Die o.g. Entity Category wird derzeit noch nicht vergeben (Stand März 2021). Es sind noch verfahrenstechnische Fragen zu klären. Die o.g. Entity Category wird derzeit noch nicht vergeben (Stand März 2021). Es sind noch verfahrenstechnische Fragen zu klären.
 </callout> </callout>
Zeile 11: Zeile 11:
 ===== Attribute Resolver ===== ===== Attribute Resolver =====
  
-Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp3userdepro#verlaesslichkeit_von_queries|User Deprovisionierung]]+Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp:config-deprovisionierung#verlaesslichkeit_von_queries|User Deprovisionierung]], zu ''eduPersonAssurance'' siehe [[de:aai:assurance_idp|REFEDS Assurance Framework Identity Provider]].
- +
- +
- +
-\\ +
- +
-FIXME Deployment-Empfehlungen bzgl. [[https://issues.shibboleth.net/jira/browse/IDP-1674|pairwise-id]] für Neuinstallationen  +
- +
-\\ +
- +
-==== IdP 4.x ====+
  
 <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml>
Zeile 100: Zeile 90:
         salt="%{idp.persistentId.salt}">         salt="%{idp.persistentId.salt}">
         <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}" />         <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}" />
-        <BeanManagedConnection>MyPidDataSource</BeanManagedConnection>+        <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection>
     </DataConnector>     </DataConnector>
  
Zeile 129: Zeile 119:
 </file> </file>
  
 +<callout type="danger" title="Obacht bei Hashfunktion">
 +Existiert bereits eine AttributeDefinition für **eduPersonUniqueId**, sollte die hierfür verwendete Hashfunktion nachgenutzt werden, da andernfalls Identitätsverlust bei Service Providern droht, die dieses Attribut zur Personalisierung nutzen! 
  
 +In diesem Fall können Scope und Wert direkt nach **samlSubjectID** übernommen werden:
 +<file xml /opt/shibboleth-idp/conf/attribute-resolver.xml>
 +    <AttributeDefinition id="samlSubjectID" xsi:type="Prescoped">
 +        <InputAttributeDefinition ref="eduPersonUniqueId" />
 +    </AttributeDefinition>
 +</file>
 +</callout>
 ===== Attribute Filter ===== ===== Attribute Filter =====
 Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden. Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden.
  
-Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein Entity Attribut signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies.+Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein [[de:entity_attributes#spbenoetigte_subject_identifier_attribute|Entity Attribut]] signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies.
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
 +      
 +     <!-- Anonyme Angaben an alle SPs freigeben werden -->
 +     
 +     <AttributeFilterPolicy id="ReleaseToAnyone">
 +        <PolicyRequirementRule xsi:type="ANY" />
 +
 +        <AttributeRule attributeID="eduPersonAssurance" permitAny="true" />
 +
 +        <AttributeRule attributeID="eduPersonEntitlement">
 +          <PermitValueRule xsi:type="Value" value="urn:mace:dir:entitlement:common-lib-terms"/>
 +        </AttributeRule>
 +
 +        <AttributeRule attributeID="eduPersonScopedAffiliation">
 +          <PermitValueRule xsi:type="OR">
 +              <Rule xsi:type="Value" value="member"          ignoreCase="true" />
 +              <Rule xsi:type="Value" value="library-walk-in" ignoreCase="true" />
 +          </PermitValueRule>
 +         </AttributeRule>
 +     </AttributeFilterPolicy>
 +
 +
      <AttributeFilterPolicy id="releaseToAAIplus">      <AttributeFilterPolicy id="releaseToAAIplus">
  
Zeile 143: Zeile 163:
                attributeValue="http://aai.dfn.de/category/aai-plus" />                attributeValue="http://aai.dfn.de/category/aai-plus" />
  
-      <AttributeRule attributeID="displayName">+       <AttributeRule attributeID="displayName">
           <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/>           <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/>
        </AttributeRule>        </AttributeRule>
Zeile 260: Zeile 280:
 </file> </file>
  
-{{tag>idp4 subjectIdentifierAttributes aaiplus attributfreigabe}}+{{tag>idp4 subjectIdentifierAttributes aaiplus attributfreigabe pairwise-id subject-id}}
  • Zuletzt geändert: vor 3 Jahren