Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:shibidp3sp-kivuto [2017/03/06 10:59] – Raoul Gunnar Borenius | de:shibidp:config-attributes-kivuto [2022/03/10 10:56] (aktuell) – Wolfgang Pempe |
---|
===== Anbindung an Kivuto/OnTheHub (ex-MS-Dreamspark) ===== | ====== Kivuto/OnTheHub ====== |
| (zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]]) |
| |
Um Ihren Usern Zugang zum Kivuto/OnTheHub (ex-MS-Dreamspark)-Angebot geben zu können sind folgende | Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig: |
technische Konfigurationen nötig (vermutlich müssen Sie sich dort auch noch als Einrichtung registrieren. | |
Was dabei genau gemacht werden muss ist nicht Teil dieser Anleitung): | |
| |
* aktivieren Sie die Erzeugung der persistentId mithilfe einer Mysql-DB im Hintergrund, und geben Sie diese an alle SPs frei, siehe https://wiki.aai.dfn.de/de:shibidp3storage | * Aktivieren Sie die Erzeugung und Freigabe der [[de:shibidp:config-storage|persistentId]]. |
* Testen Sie das gegen unseren Test-SP https://testsp2.aai.dfn.de in der Testumgebung | * Testen Sie das gegen unseren [[https://testsp2.aai.dfn.de|Test-SP2]]. |
* Kivuto verlangt ausserdem noch das Attribut "isMemberOf" mit dem Sie pro User angeben ob dieser in die Kategorie "standard" oder "premium" fällt. Das muss entsprechend im attribute-resolver Userspezifisch generiert werden: | * Kivuto verlangt außerdem das Attribut ''isMemberOf'', mit dem Sie pro User angeben, ob dieser in die Kategorie "Standard" oder "Premium" fällt. |
| * In einem neu installierten IdP 4.x müssen Sie die Transcoding-Regel für ''isMemberOf'' bzw. ''urn:oid:1.3.6.1.4.1.5923.1.5.1.1'' in der Attribute Registry hinterlegen. Die AttributeEncoder-Zeile aus dem folgenden Beispiel muss entfernt werden. |
| * In einem upgegradeten IdP 4.x generieren Sie das Attribut userspezifisch in ''./conf/attribute-resolver.xml''.: |
| |
<file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
<!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet --> | <!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet --> |
<resolver:AttributeDefinition xsi:type="ad:Mapped" id="group-urn" sourceAttributeID="memberOf"> | <AttributeDefinition xsi:type="Mapped" id="group-urn"> |
<resolver:Dependency ref="myLDAP" /> | <InputDataConnector ref="myLDAP" attributeNames="memberOf"/> |
<resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:isMemberOf" /> | <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" /> |
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" /> | |
| |
<!-- ist der User in der "premium"-Gruppe, wird als Wert eine ensprechende URN zurückgegeben --> | <!-- User in der "premium"-Gruppe --> |
<ad:ValueMap> | <ValueMap> |
<ad:ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ad:ReturnValue> | <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue> |
<ad:SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</ad:SourceValue> | <SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</SourceValue> |
</ad:ValueMap> | </ValueMap> |
| |
<!-- ist der User in der "standard"-Gruppe, kommt dies in die URN --> | <!-- User in der "standard"-Gruppe --> |
<ad:ValueMap> | <ValueMap> |
<ad:ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ad:ReturnValue> | <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue> |
<ad:SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</ad:SourceValue> | <SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</SourceValue> |
</ad:ValueMap> | </ValueMap> |
| |
</resolver:AttributeDefinition> | </AttributeDefinition> |
</file> | </file> |
| |
Bitte beachten Sie dass Sie einen URN-Bereich erst über die AAI-Hotline für Ihre Einrichtung reservieren | <callout color="#ff9900" title="Unsere URN-Registry"> |
müssen, siehe https://www.aai.dfn.de/der-dienst/urn/ ! | Die Sache mit der eigenen URN klingt spannend? Sie können über die AAI-Hotline einen URN-Bereich für Ihre Einrichtung reservieren ([[de:urnreg:start|Infos hier]]). |
| </callout> |
| |
Eine passende Attribute-filter.xml sieht dann so aus: | Ein passender Attribut-Filter für Kivuto sieht dann so aus: |
| |
<file xml ./conf/attribute-filter.xml> | <file xml ./conf/attribute-filter.xml> |
<AttributeFilterPolicy id="Kivuto"> | <AttributeFilterPolicy id="Kivuto"> |
<PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" /> | <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" /> |
| <AttributeRule attributeID="mail" permitAny="true"/> |
<AttributeRule attributeID="mail" permitAny="true"/> | <AttributeRule attributeID="givenName" permitAny="true"/> |
| <!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! --> |
<AttributeRule attributeID="givenName" permitAny="true"/> | <AttributeRule attributeID="surname" permitAny="true"/> |
| |
<AttributeRule attributeID="surname" permitAny="true"/> | |
<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> | <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/> |
| |
<AttributeRule attributeID="group-urn"> | <AttributeRule attributeID="group-urn"> |
<PermitValueRule xsi:type="OR"> | <PermitValueRule xsi:type="OR"> |
</PermitValueRule> | </PermitValueRule> |
</AttributeRule> | </AttributeRule> |
| |
</AttributeFilterPolicy> | </AttributeFilterPolicy> |
</file> | </file> |
| |
Siehe auch ftp://ftp.kivuto.com/support/outgoing/ELMS_Shibboleth_User_Verification_Customer_Implementation_Guide_EN.pdf | {{tag>idp4 attributfreigabe}} |