Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:config-attributes-aaiplus [2021/03/14 14:52]
Wolfgang Pempe
de:shibidp:config-attributes-aaiplus [2021/08/20 17:56] (aktuell)
Wolfgang Pempe
Zeile 11: Zeile 11:
 ===== Attribute Resolver ===== ===== Attribute Resolver =====
  
-Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp3userdepro#verlaesslichkeit_von_queries|User Deprovisionierung]]. +Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp:config-deprovisionierung#verlaesslichkeit_von_queries|User Deprovisionierung]].
- +
- +
- +
-\\ +
- +
-FIXME Deployment-Empfehlungen bzgl. [[https://issues.shibboleth.net/jira/browse/IDP-1674|pairwise-id]] für Neuinstallationen  +
- +
-\\ +
- +
-==== IdP 4.x ====+
  
 <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml>
Zeile 129: Zeile 119:
 </file> </file>
  
 +<callout type="danger" title="Obacht bei Hashfunktion">
 +Existiert bereits eine AttributeDefinition für **eduPersonUniqueId**, sollte die hierfür verwendete Hashfunktion nachgenutzt werden, da andernfalls Identitätsverlust bei Service Providern droht, die dieses Attribut zur Personalisierung nutzen! 
  
 +In diesem Fall können Scope und Wert direkt nach **samlSubjectID** übernommen werden:
 +<file xml /opt/shibboleth-idp/conf/attribute-resolver.xml>
 +    <AttributeDefinition id="samlSubjectID" xsi:type="Prescoped">
 +        <InputAttributeDefinition ref="eduPersonUniqueId" />
 +    </AttributeDefinition>
 +</file>
 +</callout>
 ===== Attribute Filter ===== ===== Attribute Filter =====
 Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden. Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden.
  
-Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein Entity Attribut signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies.+Da der Bedarf bzgl. SAML V2.0 Subject Identifier Attribut seitens Relying Parties (SPs) über ein [[de:entity_attributes#spbenoetigte_subject_identifier_attribute|Entity Attribut]] signalisiert wird, erfolgt die Attributfreigabe über separate Attribute Filter Policies.
  
 <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> <file xml /opt/shibboleth-idp/conf/attribute-filter.xml>
Zeile 143: Zeile 142:
                attributeValue="http://aai.dfn.de/category/aai-plus" />                attributeValue="http://aai.dfn.de/category/aai-plus" />
  
-      <AttributeRule attributeID="displayName">+       <AttributeRule attributeID="displayName">
           <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/>           <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/>
        </AttributeRule>        </AttributeRule>
  • Zuletzt geändert: vor 6 Monaten