Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3sp-kivuto [2016/10/26 17:04] – angelegt Raoul Gunnar Boreniusde:shibidp:config-attributes-kivuto [2020/12/30 15:24] Wolfgang Pempe
Zeile 1: Zeile 1:
-===== Anbindung an Kivuto/OnTheHub (ex-MS-Dreamspark) =====+=====Kivuto/OnTheHub =====
 +(zurück zur [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|Übersicht]])
  
-Um Ihren Usern Zugang zum Kivuto/OnTheHub (ex-MS-Dreamspark)-Angebot geben zu können sind folgende +Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig:
-technische Konfigurationen nötig (vermutlich müssen Sie sich dort auch noch als Einrichtung registrieren. +
-Was dabei genau gemacht werden muss ist nicht Teil dieser Anleitung):+
  
-  * aktivieren Sie die Erzeugung der persistentId mithilfe einer +  * Aktivieren Sie die Erzeugung und Freigabe der [[de:shibidp:config-storage|persistentId]]
-  Mysql-DB im Hintergrund, und geben Sie diese an alle SPs frei, siehe +  * Testen Sie das gegen unseren [[https://testsp2.aai.dfn.de|Test-SP2]]. 
-  https://wiki.aai.dfn.de/de:shibidp3storage +  * Kivuto verlangt außerdem das Attribut ''isMemberOf'', mit dem Sie pro User angebenob dieser in die Kategorie "Standard" oder "Premium" fällt. Das generieren Sie userspezifisch in ''./conf/attribute-resolver.xml'':
-  * Testen Sie das gegen unseren Test-SP https://testsp2.aai.dfn.de +
-  in der Testumgebung +
-  * Kivuto verlangt ausserdem noch das Attribut "isMemberOfmit dem +
-  Sie pro User angeben ob dieser in die Kategorie "standard" oder +
-  "premium" fällt. Das muss entsprechend im attribute-resolver +
-  Userspezifisch generiert werden:+
  
 <file xml ./conf/attribute-resolver.xml> <file xml ./conf/attribute-resolver.xml>
 <!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet --> <!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet -->
-<resolver:AttributeDefinition xsi:type="ad:Mapped" id="group-urn" sourceAttributeID="memberOf"> +<AttributeDefinition xsi:type="Mapped" id="group-urn"> 
-    <resolver:Dependency ref="myLDAP" /> +    <InputDataConnector ref="myLDAP" attributeNames="memberOf"/> 
-    <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:isMemberOf" /> +    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" />
-    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" />+
  
-    <!-- ist der User in der "premium"-Gruppe, wird als Wert eine ensprechende URN zurückgegeben --> +    <!-- User in der "premium"-Gruppe --> 
-    <ad:ValueMap> +    <ValueMap> 
-         <ad:ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ad:ReturnValue> +         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue> 
-         <ad:SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</ad:SourceValue> +         <SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</SourceValue> 
-    </ad:ValueMap>+    </ValueMap>
  
-    <!-- ist der User in der "standard"-Gruppe, kommt dies in die URN --> +    <!-- User in der "standard"-Gruppe --> 
-    <ad:ValueMap> +    <ValueMap> 
-         <ad:ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ad:ReturnValue> +         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue> 
-         <ad:SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</ad:SourceValue> +         <SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</SourceValue> 
-    </ad:ValueMap>+    </ValueMap>
  
-</resolver:AttributeDefinition>+</AttributeDefinition>
 </file> </file>
  
-Bitte beachten Sie dass Sie einen URN-Bereich erst über die AAI-Hotline für Ihre Einrichtung reservieren +<callout color="#ff9900" title="Unsere URN-Registry"> 
-müssen, siehe https://www.aai.dfn.de/der-dienst/urn!+Die Sache mit der eigenen URN klingt spannend? Sie können über die AAI-Hotline einen URN-Bereich für Ihre Einrichtung reservieren ([[de:urnreg:start|Infos hier]]). 
 +</callout>
  
-Eine passende Attribute-filter.xml sieht dann so aus:+Ein passender Attribut-Filter für Kivuto sieht dann so aus:
  
 <file xml ./conf/attribute-filter.xml> <file xml ./conf/attribute-filter.xml>
-<AttributeFilterPolicy id="Gigamove">+<AttributeFilterPolicy id="Kivuto">
     <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" />     <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" />
- +    <AttributeRule attributeID="mail"                       permitAny="true"/> 
-    <AttributeRule attributeID="mail" permitAny="true"/> +    <AttributeRule attributeID="givenName"                  permitAny="true"/> 
- +    <!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! --> 
-    <AttributeRule attributeID="givenName" permitAny="true"/> +    <AttributeRule attributeID="surname"                    permitAny="true"/>
- +
-    <AttributeRule attributeID="surname" permitAny="true"/> +
     <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>     <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
- 
     <AttributeRule attributeID="group-urn">     <AttributeRule attributeID="group-urn">
        <PermitValueRule xsi:type="OR">        <PermitValueRule xsi:type="OR">
Zeile 60: Zeile 49:
        </PermitValueRule>        </PermitValueRule>
     </AttributeRule>     </AttributeRule>
- 
 </AttributeFilterPolicy> </AttributeFilterPolicy>
 </file> </file>
 +
 +{{tag>idp3 attributfreigabe FIXME}}
  • Zuletzt geändert: vor 2 Jahren