de:shibidp:config-attributes-easyroam4edu [Dokumentation DFN-AAI, DFN-PKI und eduroam]

Diese Seite ist nicht editierbar. Sie können den Quelltext sehen, jedoch nicht verändern. Kontaktieren Sie den Administrator, wenn Sie glauben, dass hier ein Fehler vorliegt.
===== easyroam =====
(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]])

Hier geht es zur [[de:eduroam:easyroam|allgemeinen easyroam-Doku]]

\\

**Benötigte Attribute**
  * [[de:common_attributes#a09|eduPersonScopedAffiliation]]
  * [[de:common_attributes#a17|samlPairwiseID]], zur Generierung siehe [[de:shibidp:config-attributes-aaiplus|hier]]
  * [[de:common_attributes#a10|eduPersonEntitlement]] mit den Werten
    * <code>https://www.dfn.de/entitlement/geteduroam/admin</code> zur Autorisierung von Admins
    * <code>https://www.dfn.de/entitlement/geteduroam/optin</code> für gewöhnliche Nutzende

**Beispiel Attributfreigabe**
<file xml ./conf/attribute-filter.xml>
<AttributeFilterPolicy id="get_eduroam">
  <PolicyRequirementRule xsi:type="Requester" value="https://get.eduroam.de/shibboleth" />
  <AttributeRule attributeID="eduPersonEntitlement">
       <PermitValueRule xsi:type="ValueRegex" regex="^https://www\.dfn\.de/entitlement/geteduroam/.*$" /> 
  </AttributeRule>
  <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
  <AttributeRule attributeID="samlPairwiseID"             permitAny="true"/>
</AttributeFilterPolicy>
</file>

**Attribute Definition für eduPersonEntitlement**

Im folgenden Beispiel wird der Wert https://www.dfn.de/entitlement/geteduroam/admin für eine(n) Administrator(in) anhand der ''uid'' der betreffenden Person gesetzt (im Beispiel 'mustermann'), während der Wert https://www.dfn.de/entitlement/geteduroam/optin für alle Nutzenden vergeben wird. Bestehende Attribute Definitions für ''eduPersonEntitlement'' wären analog zu ergänzen. 
<file xml ./conf/attribute-resolver.xml>
<AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement">
   <InputAttributeDefinition ref="uid" />
  <Script><![CDATA[
     if (uid.getValues().get(0) == "mustermann") {
        eduPersonEntitlement.getValues().add("https://www.dfn.de/entitlement/geteduroam/admin");
     }
     eduPersonEntitlement.getValues().add("https://www.dfn.de/entitlement/geteduroam/optin");
     ]]>
 </Script>
</AttributeDefinition>
</file>

Bei mehreren Administrator*innen können Sie wie folgt mit einer ODER-Verknüpfung arbeiten:
<file xml ./conf/attribute-resolver.xml>
<AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement">
  <InputAttributeDefinition ref="uid" />
  <Script><![CDATA[
    if (uid.getValues().get(0) == "mustermensch1" || uid.getValues().get(0) == "mustermensch2" || uid.getValues().get(0) == "mustermensch3") {
      eduPersonEntitlement.getValues().add("https://www.dfn.de/entitlement/geteduroam/admin");
    }
    eduPersonEntitlement.getValues().add("https://www.dfn.de/entitlement/geteduroam/optin");
  ]]>
  </Script>
</AttributeDefinition>
</file>

**Hinweis:**

Bei älteren IdPs (Upgrade von Version 3.x) kann es vorkommen, dass das Attribute Transcoding noch im Attribute Resolver vorgenommen wird. In diesem (und nur in diesem!) Fall muss in der Attribute Definition jeweils noch ein ''AttributeEncoder'' ergänzt werden: \\
''eduPersonEntitlement'' \\
<file xml>
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" encodeType="false"/>
</file>
''samlPairwiseID''
<file xml>
<AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oasis:names:tc:SAML:attribute:pairwise-id" friendlyName="pairwise-id" encodeType="false" />
</file>
''eduPersonScopedAffiliation''
<file xml>
<AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" friendlyName="eduPersonScopedAffiliation" encodeType="false" />
</file>

Siehe auch die [[de:shibidp:troubleshooting#welche_attribute_und_attribut-werte_werden_an_einen_sp_uebertragen|Hinweise zum Debbuging]]