Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp:config-attributes-minimal [2021/10/06 11:54] – [Definition bzw. Generierung von Attributen] Typo Silke Meyer | de:shibidp:config-attributes-minimal [2021/10/07 21:03] – [Freigabe von Attributen an SPs] Wolfgang Pempe |
---|
* wie diese Attribute ggf. im IdP umgebaut werden sollen. | * wie diese Attribute ggf. im IdP umgebaut werden sollen. |
| |
Shibboleth liefert eine umfangreiche Beispieldatei ''./conf/attribute-resolver-full.xml'' mit. Um es zunächst übersichtlicher zu halten, laden Sie sich bitte unten stehende Beispieldatei herunter und legen Sie sie nach ''./conf/attribute-resolver.xml''. Sie ist für Testzwecke nach der Erstinstallation gedacht. Die Werte für ''attributeNames'' müssen ggf. den tatsächlichen Attributnamen in Ihrem Nutzerverzeichnis angepasst werden. Für den späteren Produktivbetrieb müssen i.d.R. noch mindestens die Definitionen der für den Bibliotheksbereich relevanten Attribute ''eduPerson(Scoped)Affiliation'' und ''eduPersonEntitlement'' ergänzt werden, siehe die entsprechende [[de:shibidp:config-attributes-publishers|Dokumentation]]. | Um es zunächst übersichtlicher zu halten, legen Sie sich bitte unten stehende Beispieldatei nach ''./conf/attribute-resolver.xml''. Sie ist für Testzwecke nach der Erstinstallation gedacht. Die Werte für ''attributeNames'' müssen ggf. den tatsächlichen Attributnamen in Ihrem Nutzerverzeichnis angepasst werden. Für den späteren Produktivbetrieb müssen i.d.R. noch mindestens die Definitionen der für den Bibliotheksbereich relevanten Attribute ''eduPerson(Scoped)Affiliation'' und ''eduPersonEntitlement'' ergänzt werden, siehe die entsprechende [[de:shibidp:config-attributes-publishers|Dokumentation]]. |
| |
(Ein Klick auf den Dateinamen startet den Download) | (Ein Klick auf den Dateinamen startet den Download) |
Dort werden all die Attribute automatisch aus dem IdM geholt, die im IdM genau so heißen, | Dort werden all die Attribute automatisch aus dem IdM geholt, die im IdM genau so heißen, |
wie der IdP sie in seiner Attribute Registry auch definiert hat. Für diese Attribute | wie der IdP sie in seiner Attribute Registry auch definiert hat. Für diese Attribute |
brauchen Sie dann keine eigene Attributdefinition mehr. --> | brauchen Sie dann hier keine eigene Attributdefinition mehr. --> |
| |
<!-- Hash generieren für SAML Subject ID --> | |
<AttributeDefinition id="subjectHash" xsi:type="ScriptedAttribute" dependencyOnly="true"> | |
<InputDataConnector ref="myLDAP" attributeNames="%{idp.persistentId.sourceAttribute}" /> | |
<Script><![CDATA[ | |
var digestUtils = Java.type("org.apache.commons.codec.digest.DigestUtils"); | |
var saltedHash = digestUtils.sha256Hex(%{idp.persistentId.sourceAttribute}.getValues().get(0) + "%{idp.persistentId.salt}"); | |
subjectHash.addValue(saltedHash); | |
]]></Script> | |
</AttributeDefinition> | |
| |
<!-- Für SAML Subject ID und eduPersonUniqueId wird der gleiche Wert übertragen --> | |
<AttributeDefinition xsi:type="Scoped" id="samlSubjectID" scope="%{idp.scope}"> | |
<InputAttributeDefinition ref="subjectHash" /> | |
</AttributeDefinition> | |
| |
<AttributeDefinition xsi:type="Scoped" id="eduPersonUniqueId" scope="%{idp.scope}"> | |
<InputAttributeDefinition ref="subjectHash" /> | |
</AttributeDefinition> | |
| |
<!-- Für samlPairwiseID wird die persistentId mit Scope übertragen --> | |
<AttributeDefinition xsi:type="Scoped" id="samlPairwiseID" scope="%{idp.scope}"> | |
<InputDataConnector ref="StoredId" attributeNames="persistentID"/> | |
</AttributeDefinition> | |
| |
<!-- ========================================== --> | <!-- ========================================== --> |
<Value>Beispiel-Hochschule</Value> | <Value>Beispiel-Hochschule</Value> |
</Attribute> | </Attribute> |
</DataConnector> | |
| |
<DataConnector id="StoredId" xsi:type="StoredId" | |
generatedAttributeID="persistentID" | |
salt="%{idp.persistentId.salt}" | |
queryTimeout="0"> | |
<InputDataConnector ref="myLDAP" attributeNames="%{idp.persistentId.sourceAttribute}"/> | |
<BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection> | |
</DataConnector> | </DataConnector> |
| |
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" | xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" |
xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd"> | xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd"> |
| |
| <!-- Verlässlichkeitsinformationen sind nicht personenbeziehbar |
| und sollten grundsätzlich an jeden SP übertragen werden --> |
| <AttributeFilterPolicy id="ReleaseAssuranceToAnyone"> |
| <PolicyRequirementRule xsi:type="ANY" /> |
| <AttributeRule attributeID="eduPersonAssurance" permitAny="true" /> |
| </AttributeFilterPolicy> |
| |
<!-- Attribute an die DFN-Test-SPs freigeben --> | <!-- Attribute an die DFN-Test-SPs freigeben --> |
<PolicyRequirementRule xsi:type="OR"> | <PolicyRequirementRule xsi:type="OR"> |
<!-- Als Requester wird die jeweilige EntityID des Service Providers angegeben. --> | <!-- Als Requester wird die jeweilige EntityID des Service Providers angegeben. --> |
<Rule xsi:type="Requester" value="https://testsp.aai.dfn.de/shibboleth" /> | |
<Rule xsi:type="Requester" value="https://testsp2.aai.dfn.de/shibboleth" /> | <Rule xsi:type="Requester" value="https://testsp2.aai.dfn.de/shibboleth" /> |
<Rule xsi:type="Requester" value="https://testsp3.aai.dfn.de/shibboleth" /> | <Rule xsi:type="Requester" value="https://testsp3.aai.dfn.de/shibboleth" /> |