Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp:config-attributes-publishers [2022/03/10 10:55] Wolfgang Pempede:shibidp:config-attributes-publishers [2024/11/27 11:16] (aktuell) – veraltete Attributdefinition (ohne Attribute Registry) entfernt Doreen Liebenau
Zeile 14: Zeile 14:
 Ihr Lizenzvertrag oder ggf. das Landeshochschulgesetz Ihres Bundeslandes geben Auskunft darüber, welche Gruppen welche Berechtigungen bekommen. Ihr Lizenzvertrag oder ggf. das Landeshochschulgesetz Ihres Bundeslandes geben Auskunft darüber, welche Gruppen welche Berechtigungen bekommen.
 </callout> </callout>
 +
 +Eine Orientierung für die Attributfreigaben bietet auch die Gruppe FIM4L (Federated Identity Management For Libraries) https://www.fim4l.org/ mit ihren Principles and Recommendation.
  
 ===== Beispiel ===== ===== Beispiel =====
Zeile 28: Zeile 30:
 Es soll erreicht werden, dass die ersten vier Gruppen als Angehörige der Einrichtung die Verlagsressourcen nutzen dürfen, Gäste dagegen nicht. Es soll erreicht werden, dass die ersten vier Gruppen als Angehörige der Einrichtung die Verlagsressourcen nutzen dürfen, Gäste dagegen nicht.
  
-==== Attributdefinition im upgegradeten IdP 4.x ==== 
  
-In aktualisierten IdP 4.x mit der alten Syntax/ohne die Attribute Registry machen Sie es so: +==== Attributdefinition ====
- +
-<file xml ./conf/attribute-resolver.xml> +
- +
- <!-- eduPersonAffiliaton aus dem 'memberof' herausholen --> +
-     +
- <AttributeDefinition xsi:type="Mapped" id="eduPersonAffiliation"> +
-  <InputDataConnector ref="myLDAP" attributeNames="memberOf"/> +
-   <DisplayName xml:lang="en">Affiliation type</DisplayName> +
-   <DisplayName xml:lang="de">Zugehörigkeit</DisplayName> +
-   <DisplayDescription xml:lang="en">Type of affiliation with Home Organization</DisplayDescription> +
-   <DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung</DisplayDescription> +
-  <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" friendlyName="eduPersonAffiliation" /> +
- +
-   <!-- default 'affiliate', damit immer mindestens ein Wert vorhanden ist --> +
-   <DefaultValue>affiliate</DefaultValue> +
- +
-   <!-- Mapping der Gruppen aus dem IdM jede Gruppe bekommt eine eigene eduPersonAffiliation +
-   und zusätzlich "member" sofern "Angehörige" im Sinne LHG --> +
- +
-   <ValueMap> +
-     <ReturnValue>student</ReturnValue> +
-     <SourceValue ignoreCase="true">cn=studiengang.+</SourceValue> +
-   </ValueMap> +
-   <ValueMap> +
-     <ReturnValue>staff</ReturnValue> +
-     <SourceValue ignoreCase="true">cn=angestellte,.+</SourceValue> +
-     <SourceValue ignoreCase="true">cn=professoren,.+</SourceValue> +
-   </ValueMap> +
- +
-   <ValueMap> +
-     <ReturnValue>member</ReturnValue> +
-     <SourceValue ignoreCase="true">cn=studiengang.+</SourceValue> +
-     <SourceValue ignoreCase="true">cn=angestellte,.+</SourceValue> +
-     <SourceValue ignoreCase="true">cn=professoren,.+</SourceValue> +
-   </ValueMap> +
- </AttributeDefinition> +
- +
- <!-- eduPersonScopedAffiliation aus eduPersonAffiliation bilden --> +
- <AttributeDefinition xsi:type="Scoped" id="eduPersonScopedAffiliation" scope="%{idp.scope}"> +
-   <InputAttributeDefinition ref="eduPersonAffiliation"/> +
-   <DisplayName xml:lang="en">Affiliation type (with institution)</DisplayName> +
-   <DisplayName xml:lang="de">Zugehörigkeit (+ Einrichtung)</DisplayName> +
-   <DisplayDescription xml:lang="en">Type of affiliation with Home Organization with scope</DisplayDescription> +
-   <DisplayDescription xml:lang="de">Art der Zugehörigkeit zur Heimateinrichtung mit Geltungsbereich</DisplayDescription> +
-   <AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" friendlyName="eduPersonScopedAffiliation" encodeType="false" /> +
- </AttributeDefinition> +
- +
- <!-- eduPersonEntitlement je nach eduPersonAffiliation setzen --> +
- <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement"> +
-   <InputAttributeDefinition ref="eduPersonAffiliation" /> +
-   <DisplayName xml:lang="en">Entitlement</DisplayName> +
-   <DisplayName xml:lang="de">Berechtigung</DisplayName> +
-   <DisplayDescription xml:lang="en">URI that indicates a set of rights to specific resources</DisplayDescription> +
-   <DisplayDescription xml:lang="de">Zeichenkette, die Rechte für spezifische Ressourcen beschreibt</DisplayDescription> +
-   <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" /> +
-   <Script> +
-          <![CDATA[ +
-              if (eduPersonAffiliation.getValues().contains("member")) { +
-                      eduPersonEntitlement.getValues().add("urn:mace:dir:entitlement:common-lib-terms"); +
-              } +
-           ]]> +
-   </Script> +
- </AttributeDefinition> +
-</file> +
- +
-==== Attributdefinition im IdP 4.x ==== +
- +
-In **Neu**installationen des IdP 4.x ist die Datei übersichtlicher gestaltet:+
  
 <file xml ./conf/attribute-resolver.xml> <file xml ./conf/attribute-resolver.xml>
Zeile 168: Zeile 101:
     </AttributeFilterPolicy>     </AttributeFilterPolicy>
 </file> </file>
- 
-{{tag>idp4}} 
  • Zuletzt geändert: vor 3 Jahren