Es kann Fälle geben, in denen Service Provider älterer Bauart nicht in der Lage sind, einen Persistent Name Identifier zu verarbeiten, sondern den entsprechenden Wert als Attribut empfangen und verarbeiten müssen. Üblicherweise handelt es sich dann um das Attribut eduPersonTargetedID.

So konfigurieren Sie den IdP, dass er die persistentId aus der Datenbank holt. Die Freigabe erfolgt analog zu allen anderen Attributen in ./conf/attribute-filter.xml.

./conf/attribute-resolver.xml

    <!-- eduPersonTargetedID aus der SAML2NameID bilden -->
    <AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
        <InputDataConnector ref="myStoredId" attributeNames="persistentId"/>
        <DisplayName xml:lang="en">Targeted ID (pseudonyme Kennung)</DisplayName>
        <DisplayName xml:lang="de">Targeted ID (pseudonymous ID)</DisplayName>
        <DisplayDescription xml:lang="en">Targeted ID: A unique, pseudonymous identifier for a person, different for each service provider.</DisplayDescription>
        <DisplayDescription xml:lang="de">Targeted ID: Eindeutige, pseudonyme Nutzerkennung, unterschiedlich pro Service Provider.</DisplayDescription>
        <AttributeEncoder xsi:type="SAML2XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" />
    </AttributeDefinition>
 
    <!-- ========================================== -->
    <!--      Data Connectors                       -->
    <!-- ========================================== -->
 
    <DataConnector id="myStoredId"
        xsi:type="StoredId"
        generatedAttributeID="persistentId"
        salt="%{idp.persistentId.salt}">
        <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}" />
 
        <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection>
    </DataConnector>