Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3attributes-publishers [2017/02/24 17:44] – Raoul Gunnar Borenius
+++ de:shibidp:config-attributes-publishers [2020/04/16 13:06] – ↷ Seite von de:shibidp3attributes-publishers nach de:shibidp:config-attributes-publishers verschoben und umbenannt Silke Meyer
@@ Zeile 4: / Zeile 4: @@
 Autorisierung auch einen Login per SAML/AAI zu nutzen, bei den Anbietern übrigends oft auch etwas missverständlich "Shibboleth"-Login genannt (das ist so als ob man statt von "Web-Seiten" von "Apache-Seiten" reden würde).
-Glücklicherweise haben sich die Anbieter im Verlagsbereich schon seit geraumer Zeit auf einheitliche Attributanforderungen geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle grossen Verlagsanbieter auf einmal "erschlagen".
+Glücklicherweise haben sich die Anbieter im Verlagsbereich schon seit geraumer Zeit auf einheitliche Attributanforderungen geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle großen Verlagsanbieter auf einmal "erschlagen".
-** Wichtig: trotzdem bleibt es Ihnen nicht erspart alle Anbieter einzeln darüber zu informieren dass Sie jetzt einen SAML-fähigen IdP betreiben und diesen gerne für den Zugriff nutzen wollen. Bei manchen Anbietern kann man dies online aktivieren, andere müssen auf anderen Wegen kontaktiert werden. Klären Sie das bitte mit der jeweiligen Kontaktperson des Verlages. **
+** Wichtig: trotzdem bleibt es Ihnen nicht erspart, alle Anbieter einzeln darüber zu informieren, dass Sie jetzt einen SAML-fähigen IdP betreiben und diesen gerne für den Zugriff nutzen wollen. Bei manchen Anbietern kann man dies online aktivieren, andere müssen auf anderen Wegen kontaktiert werden. Klären Sie das bitte mit der jeweiligen Kontaktperson des Verlages. **
 Die Verlage erwarten im Normalfall eines von zwei Attributen:
-  * Zugehorigkeit des Users: eduPersonScopedAffiliation mit dem Wert "member@SCOPE"
+  * Zugehörigkeit des Users: eduPersonScopedAffiliation mit dem Wert "member@SCOPE"
-  * Berechtigung des Users: eduPersonEntitliment mit dem Wet "urn:mace:dir:common-lib-terms"
+  * Berechtigung des Users: eduPersonEntitlement mit dem Wert "urn:mace:dir:common-lib-terms"
-Im ersten Moment erscheint es vielleicht naheliegend das IdM-Scheme um das eduPerson-Schema zu
+Im ersten Moment erscheint es vielleicht naheliegend, das IdM-Scheme um das eduPerson-Schema zu
-erweitern um dann jedem vorhandenen User die entsprechende Zugehörigkeit und Berechtigung
+erweitern, um dann jedem vorhandenen User die entsprechende Zugehörigkeit und Berechtigung
 im IdM zu geben.
-Da die Usergruppen im IdM-System in den allermeisten Fällen sicherlich schon unterscheidbar
+Da die Usergruppen im IdM-System in den allermeisten Fällen schon unterscheidbar
-angelegt sind (z.B. Studenten, Angestellt, Professoren, Gäste in einzelnen Teilbáumen oder zumindest
+angelegt sind (z.B. Studenten, Angestellte, Professoren, Gäste in einzelnen Teilbäumen oder zumindest
-in eigenen "memberOfs") ist es viel eleganter diese schon vorhandene Gruppeninformatition zu nutzen
+in eigenen "memberOfs") ist es viel eleganter diese schon vorhandene Gruppeninformatition zu nutzen,
 um im idP "on-the-fly" die nötigen Werte für eduPersonScopedAffiliation und eduPersonEntitliment
-zu erzeugen. Der grosse Vorteil dieser Methode ist dass Ihr IdM-System nicht erweitert werden
+zu erzeugen. Der große Vorteil dieser Methode ist, dass Ihr IdM-System nicht erweitert werden
 muss und z.B. Eingabemasken für IdM-Sachbearbeiter nicht modifiziert werden müssen.
-Wir gehen von einem Beispiel-IdM aus in dem es folgende Gruppen gibt:
+Wir gehen von einem Beispiel-IdM aus, in dem es folgende Gruppen gibt:
 ^ Gruppe      ^ memberOf ^
@@ Zeile 33: / Zeile 33: @@
 | Gäste       | cn=gaeste,ou=users,dc=beispiel-uni,dc=de |
-Die ersten drei Gruppen sollen in diesem Beispiel im Sinne des Landshochschulgesetzes als "Angehörige" (="member") der Einrichtung anzusehen sein, die Gruppe "Gäste" ist nicht "angehörig" und somit nicht
+Beispielhaft solle die ersten drei Gruppen im Sinne des Landshochschulgesetzes als "Angehörige" (="member") der Einrichtung anzusehen sein, die Gruppe "Gäste" dagegen nicht und ist somit nicht nutzungsberechtigt.
-nutzungsberechtigt. Bitte konsultieren Sie für Ihre konkrete Einrichtung das LHG Ihres Bundeslandes um
+**Bitte konsultieren Sie für Ihren konkreten Fall den Lizenzvertrag mit dem Anbieter und ggfs. das LHG Ihres Bundeslandes um festzustellen welche Gruppen welche Berechtigungen bekommen sollen!**
-festzustellen welche Gruppen welche Berechtigungen bekommen sollen!
 <file xml ./conf/attribute-resolver.xml>
@@ Zeile 41: / Zeile 40: @@
  <!-- eduPersonAffiliaton aus dem 'memberof' herausholen -->
- <AttributeDefinition xsi:type="Mapped" id="eduPersonAffiliation" sourceAttributeID="memberOf">
+ <AttributeDefinition xsi:type="Mapped" id="eduPersonAffiliation">
-  <Dependency ref="myLDAP" />
+  <InputDataConnector ref="myLDAP" attributeNames="memberOf"/>
    <DisplayName xml:lang="en">Affiliation type</DisplayName>
    <DisplayName xml:lang="de">Zugehörigkeit</DisplayName>
    <DisplayDescription xml:lang="en">Type of affiliation with Home Organization</DisplayDescription>
    <DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung</DisplayDescription>
-  <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:eduPersonAffiliation" />
   <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" friendlyName="eduPersonAffiliation" />
@@ Zeile 54: / Zeile 52: @@
    <!-- Mapping der Gruppen aus dem IdM jede Gruppe bekommt eine eigene eduPersonAffiliation
-   und zusätzlich "member" sofern "Angehörig" im Sinne LHG -->
+   und zusätzlich "member" sofern "Angehörige" im Sinne LHG -->
    <ValueMap>
@@ Zeile 76: / Zeile 74: @@
  <!-- eduPersonScopedAffiliation aus eduPersonAffiliation bilden -->
- <AttributeDefinition xsi:type="Scoped" id="eduPersonScopedAffiliation" scope="%{idp.scope}" sourceAttributeID="eduPersonAffiliation">
+ <AttributeDefinition xsi:type="Scoped" id="eduPersonScopedAffiliation" scope="%{idp.scope}">
-   <Dependency ref="eduPersonAffiliation" />
+   <InputAttributeDefinition ref="eduPersonAffiliation"/>
    <DisplayName xml:lang="en">Affiliation type (with institution)</DisplayName>
    <DisplayName xml:lang="de">Zugehörigkeit (+ Einrichtung)</DisplayName>
    <DisplayDescription xml:lang="en">Type of affiliation with Home Organization with scope</DisplayDescription>
    <DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung mit Geltungsbereich</DisplayDescription>
-   <AttributeEncoder xsi:type="SAML1ScopedString" name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" encodeType="false" />
    <AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" friendlyName="eduPersonScopedAffiliation" encodeType="false" />
  </AttributeDefinition>
@@ Zeile 88: / Zeile 85: @@
  <!-- eduPersonEntitlement je nach eduPersonAffiliation setzen -->
  <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement">
-   <Dependency ref="eduPersonAffiliation" />
+   <InputAttributeDefinition ref="eduPersonAffiliation" />
    <DisplayName xml:lang="en">Entitlement</DisplayName>
    <DisplayName xml:lang="de">Berechtigung</DisplayName>
    <DisplayDescription xml:lang="en">URI that indicates a set of rights to specific resources</DisplayDescription>
-   <DisplayDescription xml:lang="de">Zeichenkette, welche Rechte für spezifischen Ressourcen beschreibt</DisplayDescription>
+   <DisplayDescription xml:lang="de">Zeichenkette, die Rechte für spezifische Ressourcen beschreibt</DisplayDescription>
-   <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:eduPersonEntitlement" />
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" />
    <Script>
@@ Zeile 125: / Zeile 121: @@
     </AttributeFilterPolicy>
 </file>
+{{tag>idp3}}

idp4