Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte Überarbeitung Beide Seiten der Revision
de:shibidp:config-attributes-kivuto [2020/04/16 09:04]
Silke Meyer
de:shibidp:config-attributes-kivuto [2021/04/26 15:24]
Silke Meyer überarbeitungsbedürftig
Zeile 1: Zeile 1:
-===== Anbindung an Kivuto/OnTheHub (ex-MS-Dreamspark) =====+=====Kivuto/OnTheHub =====
 +(zurück zur [[de:shibidp:config-attributes#haeufig_genutzt_service_provider|Übersicht]])
  
-Um Ihren Usern Zugang zum Kivuto/OnTheHub (ex-MS-Dreamspark)-Angebot geben zu können sind folgende +Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig:
-technische Konfigurationen nötig (vermutlich müssen Sie sich dort auch noch als Einrichtung registrieren. +
-Was dabei genau gemacht werden muss ist nicht Teil dieser Anleitung):+
  
-  * aktivieren Sie die Erzeugung der persistentId mithilfe einer Mysql-DB im Hintergrund, und geben Sie diese an alle SPs frei, siehe https://wiki.aai.dfn.de/de:shibidp3storage +  * Aktivieren Sie die Erzeugung und Freigabe der [[de:shibidp:config-storage|persistentId]]
-  * Testen Sie das gegen unseren Test-SP https://testsp2.aai.dfn.de in der Testumgebung +  * Testen Sie das gegen unseren [[https://testsp2.aai.dfn.de|Test-SP2]]. 
-  * Kivuto verlangt ausserdem noch das Attribut "isMemberOfmit dem Sie pro User angeben ob dieser in die Kategorie "standard" oder "premium" fällt. Das muss entsprechend im attribute-resolver Userspezifisch generiert werden:+  * Kivuto verlangt außerdem das Attribut ''isMemberOf'', mit dem Sie pro User angebenob dieser in die Kategorie "Standard" oder "Premium" fällt. Das generieren Sie userspezifisch in ''./conf/attribute-resolver.xml'':
  
 <file xml ./conf/attribute-resolver.xml> <file xml ./conf/attribute-resolver.xml>
Zeile 13: Zeile 12:
 <AttributeDefinition xsi:type="Mapped" id="group-urn"> <AttributeDefinition xsi:type="Mapped" id="group-urn">
     <InputDataConnector ref="myLDAP" attributeNames="memberOf"/>     <InputDataConnector ref="myLDAP" attributeNames="memberOf"/>
-    <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:isMemberOf" /> 
     <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" />     <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" />
  
-    <!-- ist der User in der "premium"-Gruppe, wird als Wert eine entsprechende URN zurückgegeben -->+    <!-- User in der "premium"-Gruppe -->
     <ValueMap>     <ValueMap>
          <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue>          <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue>
Zeile 22: Zeile 20:
     </ValueMap>     </ValueMap>
  
-    <!-- ist der User in der "standard"-Gruppe, kommt dies in die URN -->+    <!-- User in der "standard"-Gruppe -->
     <ValueMap>     <ValueMap>
          <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue>          <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue>
Zeile 31: Zeile 29:
 </file> </file>
  
-Bitte beachten Sie dass Sie einen URN-Bereich erst über die AAI-Hotline für Ihre Einrichtung reservieren +<callout color="#ff9900" title="Unsere URN-Registry"> 
-müssen, siehe https://www.aai.dfn.de/der-dienst/urn!+Die Sache mit der eigenen URN klingt spannend? Sie können über die AAI-Hotline einen URN-Bereich für Ihre Einrichtung reservieren ([[de:urnreg:start|Infos hier]]). 
 +</callout>
  
-Eine passende Attribute-filter.xml sieht dann so aus:+Ein passender Attribut-Filter für Kivuto sieht dann so aus:
  
 <file xml ./conf/attribute-filter.xml> <file xml ./conf/attribute-filter.xml>
 <AttributeFilterPolicy id="Kivuto"> <AttributeFilterPolicy id="Kivuto">
     <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" />     <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" />
- +    <AttributeRule attributeID="mail"                       permitAny="true"/> 
-    <AttributeRule attributeID="mail" permitAny="true"/> +    <AttributeRule attributeID="givenName"                  permitAny="true"/> 
- +    <!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! --> 
-    <AttributeRule attributeID="givenName" permitAny="true"/> +    <AttributeRule attributeID="surname"                    permitAny="true"/>
- +
-    <AttributeRule attributeID="surname" permitAny="true"/> +
     <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>     <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
- 
     <AttributeRule attributeID="group-urn">     <AttributeRule attributeID="group-urn">
        <PermitValueRule xsi:type="OR">        <PermitValueRule xsi:type="OR">
Zeile 54: Zeile 49:
        </PermitValueRule>        </PermitValueRule>
     </AttributeRule>     </AttributeRule>
- 
 </AttributeFilterPolicy> </AttributeFilterPolicy>
 </file> </file>
  
-Siehe auch ftp://ftp.kivuto.com/support/outgoing/ELMS_Shibboleth_User_Verification_Customer_Implementation_Guide_EN.pdf +{{tag>idp3 idp4 attributfreigabe FIXME}}
- +
-{{tag>idp3}}+
  • Zuletzt geändert: vor 9 Monaten