Es kann Fälle geben, in denen Service Provider älterer Bauart nicht in der Lage sind, einen Persistent Name Identifier zu verarbeiten, sondern den entsprechenden Wert als Attribut empfangen und verarbeiten müssen. Üblicherweise handelt es sich dann um das Attribut eduPersonTargetedID.

./conf/attribute-resolver.xml

    <!-- eduPersonTargetedID aus der SAML2NameID bilden -->
    <AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
        <InputDataConnector ref="myStoredId" attributeNames="persistentId"/>
        <DisplayName xml:lang="en">Targeted ID (pseudonyme Kennung)</DisplayName>
        <DisplayName xml:lang="de">Targeted ID (pseudonymous ID)</DisplayName>
        <DisplayDescription xml:lang="en">Targeted ID: A unique, pseudonymous identifier for a person, different for each service provider.</DisplayDescription>
        <DisplayDescription xml:lang="de">Targeted ID: Eindeutige, pseudonyme Nutzerkennung, unterschiedlich pro Service Provider.</DisplayDescription>
        <AttributeEncoder xsi:type="SAML2XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" />
    </AttributeDefinition>
 
    <!-- ========================================== -->
    <!--      Data Connectors                       -->
    <!-- ========================================== -->
 
    <DataConnector id="myStoredId"
        xsi:type="StoredId"
        generatedAttributeID="persistentId"
        salt="%{idp.persistentId.salt}">
        <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}" />
 
        <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection>
    </DataConnector>

Die Freigabe dieses Attributs erfolgt dann analog zu allen anderen Attributen auch in ./conf/attribute-filter.xml.