| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:shibidp:config-attributes-aaiplus [2021/06/18 10:33] – [IdP 4.x] Wolfgang Pempe | de:shibidp:config-attributes-aaiplus [2022/05/02 14:32] (aktuell) – Wolfgang Pempe |
|---|
| <callout type="danger" title="Work in Progress"> | <callout type="danger" title="Work in Progress"> |
| Diese Seite ist noch im Aufbau begriffen! \\ | Diese Seite ist noch im Aufbau begriffen! \\ |
| Das Konzept AAIplus sieht u.a. vor, die Entity Category ''http://aai.dfn.de/category/aai-plus'' an Service Provider zu vergeben, die ein Datenschutz-Audit absolvieren und im Gegenzug die Zusicherung erhalten, dass die vom jeweiligen SP benötigten Attribute von den teilnehmenden IdPs ohne weitere Rückfragen übertragen werden. Siehe hierzu einstweilen den Beitrag zum Thema in den [[https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_96_download.pdf|DFN-Mitteilungen Nr. 96]] (ab Seite 13). \\ | Das Konzept AAIplus sieht u.a. vor, die Entity Category ''http://aai.dfn.de/category/aai-plus'' an Service Provider zu vergeben, die ein Datenschutz-Audit absolvieren und im Gegenzug die Zusicherung erhalten, dass die vom jeweiligen SP benötigten Attribute von den teilnehmenden IdPs ohne weitere Rückfragen übertragen werden. Siehe hierzu einstweilen den Beitrag zum Thema in den [[https://www2.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_96.pdf|DFN-Mitteilungen Nr. 96]] (ab Seite 13). \\ |
| Die o.g. Entity Category wird derzeit noch nicht vergeben (Stand März 2021). Es sind noch verfahrenstechnische Fragen zu klären. | Die o.g. Entity Category wird derzeit noch nicht vergeben (Stand März 2021). Es sind noch verfahrenstechnische Fragen zu klären. |
| </callout> | </callout> |
| ===== Attribute Resolver ===== | ===== Attribute Resolver ===== |
| |
| Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp:config-deprovisionierung#verlaesslichkeit_von_queries|User Deprovisionierung]]. | Beispiele für die Definition von ''eduPersonEntitlement'' und ''eduPerson(Scoped)Affiliation'' finden sich unter [[de:shibidp:config-attributes-publishers|Attribut-Configuration für Verlagsanbieter]], zu ''schacUserStatus'' siehe unter [[de:shibidp:config-deprovisionierung#verlaesslichkeit_von_queries|User Deprovisionierung]], zu ''eduPersonAssurance'' siehe [[de:aai:assurance_idp|REFEDS Assurance Framework - Identity Provider]]. |
| | |
| \\ | |
| | |
| ==== IdP 4.x ==== | |
| |
| <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> | <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> |
| salt="%{idp.persistentId.salt}"> | salt="%{idp.persistentId.salt}"> |
| <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}" /> | <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}" /> |
| <BeanManagedConnection>MyPidDataSource</BeanManagedConnection> | <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection> |
| </DataConnector> | </DataConnector> |
| |
| |
| <callout type="danger" title="Obacht bei Hashfunktion"> | <callout type="danger" title="Obacht bei Hashfunktion"> |
| Existiert bereits eine AttributeDefinition für eduPersonUniqueId, sollte die hierfür verwendete Hashfunktion nachgenutzt werden, da andernfalls Identitätsverlust bei Service Providern droht, die dieses Attribut zur Personalisierung nutzen! | Existiert bereits eine AttributeDefinition für **eduPersonUniqueId**, sollte die hierfür verwendete Hashfunktion nachgenutzt werden, da andernfalls Identitätsverlust bei Service Providern droht, die dieses Attribut zur Personalisierung nutzen! |
| </callout> | |
| In diesem Fall können Scope und Wert direkt nach samlSubjectID übernommen werden: | In diesem Fall können Scope und Wert direkt nach **samlSubjectID** übernommen werden: |
| <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> | <file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> |
| <AttributeDefinition id="samlSubjectID" xsi:type="Prescoped"> | <AttributeDefinition id="samlSubjectID" xsi:type="Prescoped"> |
| </AttributeDefinition> | </AttributeDefinition> |
| </file> | </file> |
| | </callout> |
| ===== Attribute Filter ===== | ===== Attribute Filter ===== |
| Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden. | Damit Endnutzer*innen in die Lage versetzt werden können, über das User Consent Modul die Übertragung optionaler Attribute an- oder abzuwählen, muss ''onlyIfRequired="false"'' gesetzt werden. |
| |
| <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> | <file xml /opt/shibboleth-idp/conf/attribute-filter.xml> |
| | |
| | <!-- Anonyme Angaben an alle SPs freigeben werden --> |
| | |
| | <AttributeFilterPolicy id="ReleaseToAnyone"> |
| | <PolicyRequirementRule xsi:type="ANY" /> |
| | |
| | <AttributeRule attributeID="eduPersonAssurance" permitAny="true" /> |
| | |
| | <AttributeRule attributeID="eduPersonEntitlement"> |
| | <PermitValueRule xsi:type="Value" value="urn:mace:dir:entitlement:common-lib-terms"/> |
| | </AttributeRule> |
| | |
| | <AttributeRule attributeID="eduPersonScopedAffiliation"> |
| | <PermitValueRule xsi:type="OR"> |
| | <Rule xsi:type="Value" value="member" ignoreCase="true" /> |
| | <Rule xsi:type="Value" value="library-walk-in" ignoreCase="true" /> |
| | </PermitValueRule> |
| | </AttributeRule> |
| | </AttributeFilterPolicy> |
| | |
| | |
| <AttributeFilterPolicy id="releaseToAAIplus"> | <AttributeFilterPolicy id="releaseToAAIplus"> |
| |
| </file> | </file> |
| |
| {{tag>idp4 subjectIdentifierAttributes aaiplus attributfreigabe}} | {{tag>idp4 subjectIdentifierAttributes aaiplus attributfreigabe pairwise-id subject-id}} |