Einheitliche Attributfreigaben für alle lokalen SPs

Sie können in conf/attribute-filter.xml eine Filter-Policy erstellen, die all Ihren lokalen SPs dieselben Attribute übermittelt. Um Ihren lokalen Metadatensatz anzusprechen, holen Sie sich daraus den „Name“ aus dem EntitiesDescriptor, der auch Ihre Einrichtungsnummer enthält, hier im Beispiel https://www.aai.dfn.de/DFN-AAI-Local-999. Um der Datensparsamkeit genüge zu tun, können Sie von den lokalen SPs verlangen, dass die freizugebenden Attribute in den SP-Metadaten genannt werden, statt einfach alles freizugeben. Dann listen Sie alle Attribute auf, die an lokale SPs gehen dürfen, so sie denn in den Metadaten angekündigt wurden:

/opt/shibboleth-idp/conf/attribute-filter.xml
  <AttributeFilterPolicy id="lokale-sps">
    <PolicyRequirementRule xsi:type="InEntityGroup" groupID="https://www.aai.dfn.de/DFN-AAI-Local-999" />
    <AttributeRule attributeID="mail">
      <PermitValueRule xsi:type="AttributeInMetadata"/>
    </AttributeRule>
    <AttributeRule attributeID="eduPersonScopedAffiliation">
      <PermitValueRule xsi:type="AttributeInMetadata"/>
    </AttributeRule>
    ...
    ... usw.
    ...
  </AttributeFilterPolicy>
  • Zuletzt geändert: vor 6 Monaten