de:shibidp:config-attributes-publishers [Dokumentation DFN-AAI, DFN-PKI und eduroam]

Diese Seite ist nicht editierbar. Sie können den Quelltext sehen, jedoch nicht verändern. Kontaktieren Sie den Administrator, wenn Sie glauben, dass hier ein Fehler vorliegt.
====== Attributfreigaben für Verlagsanbieter ======
(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]])

Viele kommerzielle Verlagsanbieter bieten inzwischen eine Anmeldung über SAML an, also über die DFN-AAI oder eduGAIN. Sie haben sich dazu auf **einheitliche Attributanforderungen** geeinigt, so dass Sie mit einer einzigen Konfiguration am IdP alle großen Verlagsanbieter auf einmal abdecken können. Die Voraussetzung dafür ist meist ein Lizenzvertrag zwischen Ihrer Hochschule bzw. Bibliothek und dem Anbieter.

Dennoch sollten Sie die Anbieter einzeln darüber zu informieren, dass Sie den SAML-basierten Zugriff nutzen wollen. Bei manchen kann man dies online aktivieren, bei anderen wenden Sie sich bitte an die Kontaktperson des Verlags.

Die Verlage erwarten im Normalfall eines von zwei Attributen:

  * Zugehörigkeit des Users: ''eduPersonScopedAffiliation'' mit dem Wert "member@SCOPE"
  * Berechtigung des Users: ''eduPersonEntitlement'' mit dem Wert "urn:mace:dir:common-lib-terms"

<callout color="#ff9900" title="Welche Gruppen bekommen Zugriff?">
Ihr Lizenzvertrag oder ggf. das Landeshochschulgesetz Ihres Bundeslandes geben Auskunft darüber, welche Gruppen welche Berechtigungen bekommen.
</callout>

Eine Orientierung für die Attributfreigaben bietet auch die Gruppe FIM4L (Federated Identity Management For Libraries) https://www.fim4l.org/ mit ihren Principles and Recommendation.

===== Beispiel =====

Wir zeigen im Folgenden eine Beispielkonfiguration, die **im IdM vorhandene Gruppen** nutzt, um diese beiden Attribute IdP-seitig zu befüllen und freizugeben. Im Beispiel gibt es folgende Gruppen:

^ Gruppe          ^ memberOf ^
| Angestellte     | cn=angestellte,ou=users,dc=beispiel-uni,dc=de |
| Studierende A   | cn=studiengang A,ou=users,dc=beispiel-uni,dc=de |
| Studierende B   | cn=studiengang B,ou=users,dc=beispiel-uni,dc=de |
| Professor*innen | cn=profs,ou=users,dc=beispiel-uni,dc=de |
| Gäste           | cn=gaeste,ou=users,dc=beispiel-uni,dc=de |

Es soll erreicht werden, dass die ersten vier Gruppen als Angehörige der Einrichtung die Verlagsressourcen nutzen dürfen, Gäste dagegen nicht.


==== Attributdefinition ====

<file xml ./conf/attribute-resolver.xml>

 <!-- eduPersonAffiliaton aus dem 'memberof' herausholen -->
    
 <AttributeDefinition xsi:type="Mapped" id="eduPersonAffiliation">
  <InputDataConnector ref="myLDAP" attributeNames="memberOf"/>

   <!-- default 'affiliate', damit immer mindestens ein Wert vorhanden ist -->
   <DefaultValue>affiliate</DefaultValue>

   <!-- Mapping der Gruppen aus dem IdM jede Gruppe bekommt eine eigene eduPersonAffiliation
   und zusätzlich "member" sofern "Angehörige" im Sinne LHG -->

   <ValueMap>
     <ReturnValue>student</ReturnValue>
     <SourceValue ignoreCase="true">cn=studiengang.+</SourceValue>
   </ValueMap>
   <ValueMap>
     <ReturnValue>staff</ReturnValue>
     <SourceValue ignoreCase="true">cn=angestellte,.+</SourceValue>
     <SourceValue ignoreCase="true">cn=professoren,.+</SourceValue>
   </ValueMap>

   <ValueMap>
     <ReturnValue>member</ReturnValue>
     <SourceValue ignoreCase="true">cn=studiengang.+</SourceValue>
     <SourceValue ignoreCase="true">cn=angestellte,.+</SourceValue>
     <SourceValue ignoreCase="true">cn=professoren,.+</SourceValue>
   </ValueMap>
 </AttributeDefinition>

 <!-- eduPersonScopedAffiliation aus eduPersonAffiliation bilden -->
 <AttributeDefinition xsi:type="Scoped" id="eduPersonScopedAffiliation" scope="%{idp.scope}">
   <InputAttributeDefinition ref="eduPersonAffiliation"/>
 </AttributeDefinition>

 <!-- eduPersonEntitlement je nach eduPersonAffiliation setzen -->
 <AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonEntitlement">
   <InputAttributeDefinition ref="eduPersonAffiliation" />
   <Script>
          <![CDATA[
              if (eduPersonAffiliation.getValues().contains("member")) {
                      eduPersonEntitlement.getValues().add("urn:mace:dir:entitlement:common-lib-terms");
              }
           ]]>
   </Script>
 </AttributeDefinition>
</file>

==== Attributfreigabe ====

<file xml ./conf/attribute-filter.xml>
    <!-- Anonyme Angaben an alle SPs freigeben werden -->
    <AttributeFilterPolicy id="LibraryTermsToAnyone">
        <PolicyRequirementRule xsi:type="ANY" />

      <AttributeRule attributeID="eduPersonEntitlement">
        <PermitValueRule xsi:type="Value" value="urn:mace:dir:entitlement:common-lib-terms"/>
      </AttributeRule>

      <AttributeRule attributeID="eduPersonScopedAffiliation">
        <PermitValueRule xsi:type="OR">
            <Rule xsi:type="Value" value="member"          ignoreCase="true" />
            <Rule xsi:type="Value" value="library-walk-in" ignoreCase="true" />
        </PermitValueRule>
      </AttributeRule>
    </AttributeFilterPolicy>
</file>