Kivuto/OnTheHub

(zurück zur Übersicht)

Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig:

  • Aktivieren Sie die Erzeugung und Freigabe der persistentId.
  • Testen Sie das gegen unseren Test-SP2.
  • Kivuto verlangt außerdem das Attribut isMemberOf, mit dem Sie pro User angeben, ob dieser in die Kategorie „Standard“ oder „Premium“ fällt.
    • In einem neu installierten IdP 4.x müssen Sie die Transcoding-Regel für isMemberOf bzw. urn:oid:1.3.6.1.4.1.5923.1.5.1.1 in der Attribute Registry hinterlegen. Die AttributeEncoder-Zeile aus dem folgenden Beispiel muss entfernt werden.
    • In einem upgegradeten IdP 4.x generieren Sie das Attribut userspezifisch in ./conf/attribute-resolver.xml.:
./conf/attribute-resolver.xml
<!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet -->
<AttributeDefinition xsi:type="Mapped" id="group-urn">
    <InputDataConnector ref="myLDAP" attributeNames="memberOf"/>
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" />
 
    <!-- User in der "premium"-Gruppe -->
    <ValueMap>
         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue>
         <SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</SourceValue>
    </ValueMap>
 
    <!-- User in der "standard"-Gruppe -->
    <ValueMap>
         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue>
         <SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</SourceValue>
    </ValueMap>
 
</AttributeDefinition>

Unsere URN-Registry

Die Sache mit der eigenen URN klingt spannend? Sie können über die AAI-Hotline einen URN-Bereich für Ihre Einrichtung reservieren (Infos hier).

Ein passender Attribut-Filter für Kivuto sieht dann so aus:

./conf/attribute-filter.xml
<AttributeFilterPolicy id="Kivuto">
    <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" />
    <AttributeRule attributeID="mail"                       permitAny="true"/>
    <AttributeRule attributeID="givenName"                  permitAny="true"/>
    <!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! -->
    <AttributeRule attributeID="surname"                    permitAny="true"/>
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
    <AttributeRule attributeID="group-urn">
       <PermitValueRule xsi:type="OR">
          <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:standard" />
          <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:premium" />
       </PermitValueRule>
    </AttributeRule>
</AttributeFilterPolicy>
,
  • Zuletzt geändert: vor 3 Jahren