de:shibidp:config-attributes-easyroam4edu [Dokumentation DFN-AAI, DFN-PKI und eduroam]

← Logging

Anbindung des IdM →

Dies ist eine alte Version des Dokuments!

← Logging

Überblick: Tutorial zur IdP-Inbetriebnahme

Anbindung des IdM →

(zurück zur Übersicht)

Benötigte Attribute

eduPersonScopedAffiliation
samlPairwiseID, zur Generierung siehe hier
eduPersonEntitlement mit den Werten
- https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins
- https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende

Beispiel Attributfreigabe

./conf/attribute-filter.xml

<AttributeFilterPolicy id="get_eduroam">
  <PolicyRequirementRule xsi:type="Requester" value="https://get.eduroam.de/shibboleth" />
  <AttributeRule attributeID="eduPersonEntitlement">
       <PermitValueRule xsi:type="ValueRegex" regex="^https://www\.dfn\.de/entitlement/geteduroam/.*$" /> 
  </AttributeRule>
  <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
  <AttributeRule attributeID="samlPairwiseID"             permitAny="true"/>
</AttributeFilterPolicy>

Attribute Definition für eduPersonEntitlement

Im folgenden Beispiel wird der Wert https://www.dfn.de/entitlement/geteduroam/admin für eine(n) Administrator(in) anhand der uid der betreffenden Person gesetzt (im Beispiel 'mustermann'), während der Wert https://www.dfn.de/entitlement/geteduroam/optin für alle Nutzenden vergeben wird. Bestehende Attribute Definitions für eduPersonEntitlement wären analog zu ergänzen.

./conf/attribute-resolver.xml

<AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement">
   <InputAttributeDefinition ref="uid" />
  <Script><![CDATA[
     if (uid.getValues().get(0) == "mustermann") {
        eduPersonEntitlement.getValues().add("https://www.dfn.de/entitlement/geteduroam/admin");
     }
     eduPersonEntitlement.getValues().add("https://www.dfn.de/entitlement/geteduroam/optin");
     ]]>
 </Script>
</AttributeDefinition>

Alternative: Mapped Attribute Definition

./conf/attribute-resolver.xml

<AttributeDefinition xsi:type="Mapped" id="eduPersonEntitlement">
   <InputAttributeDefinition ref="uid"/>
   <DefaultValue>https://www.dfn.de/entitlement/geteduroam/optin</DefaultValue>
   <ValueMap>
      <ReturnValue>https://www.dfn.de/entitlement/geteduroam/admin</ReturnValue>
      <SourceValue ignoreCase="true">mustermann</SourceValue>
   </ValueMap>
</AttributeDefinition>

Hinweis: Bei älteren IdPs (Upgrade von Version 3.x) kann es vorkommen, dass das Attribute Transcoding noch im Attribute Resolver vorgenommen wird. In diesem (und nur in diesem!) Fall muss in der Attribute Definition noch folgende Zeile ergänzt werden:

<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" encodeType="false"/>

EasyRoam4Edu