Dies ist eine alte Version des Dokuments!
Persistent ID als Attribut: eduPersonTargetedID
Es kann Fälle geben, in denen Service Provider älterer Bauart nicht in der Lage sind, einen Persistent Name Identifier zu verarbeiten, sondern den entsprechenden Wert als Attribut empfangen und verarbeiten müssen. Üblicherweise handelt es sich dann um das Attribut eduPersonTargetedID.
- SAML1-SPs können diese Info nur als Attribut bekommen weil die persistent NameID nur in SAML2 definiert ist.
- manche SAML2-fähigen SPs erwarten aus historischen Gründen die Angabe in Form eines Attributes
- ./conf/attribute-resolver.xml
<!-- eduPersonTargetedID aus der SAML2NameID bilden --> <AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"> <InputDataConnector ref="myStoredId" attributeNames="persistentId"/> <DisplayName xml:lang="en">Targeted ID (pseudonyme Kennung)</DisplayName> <DisplayName xml:lang="de">Targeted ID (pseudonymous ID)</DisplayName> <DisplayDescription xml:lang="en">Targeted ID: A unique, pseudonymous identifier for a person, different for each service provider.</DisplayDescription> <DisplayDescription xml:lang="de">Targeted ID: Eindeutige, pseudonyme Nutzerkennung, unterschiedlich pro Service Provider.</DisplayDescription> <AttributeEncoder xsi:type="SAML2XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" /> </AttributeDefinition> <!-- ========================================== --> <!-- Data Connectors --> <!-- ========================================== --> <DataConnector id="myStoredId" xsi:type="StoredId" generatedAttributeID="persistentId" salt="%{idp.persistentId.salt}"> <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}" /> <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection> </DataConnector>
Die Freigabe dieses Attributs erfolgt dann analog zu allen anderen Attributen auch in ./conf/attribute-filter.xml.