TCS Cert-Manager

(zurück zur Übersicht)

Siehe hierzu die Doku der DFN-PKI unter Anmeldung mit SAML. Die AAI-Aspekte sind auch ausführlich im GÉANT-Wiki dargestellt.

Achtung beim Setzen des Entitlements urn:mace:terena.org:tcs:personal-user!

Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement 'urn:mace:terena.org:tcs:personal-user setzen: Identifizierung und Dokumentation. Testuser dürfen dieses Entitlement nicht erhalten!
./conf/attribute-resolver.xml
    <!-- im oberen Teil der Datei -->
    <AttributeDefinition id="schacHomeOrganization" xsi:type="Simple">
        <InputDataConnector ref="staticAttributes" attributeNames="schacHomeOrganization"/>
    </AttributeDefinition>
 
    <!-- Im unteren Teil der Datei tragen Sie die Domain Ihrer Einrichtung ein. -->
    <DataConnector id="staticAttributes" xsi:type="Static">
        <Attribute id="schacHomeOrganization">
            <Value>beispiel-uni.de</Value>
        </Attribute>
    </DataConnector>

Bei Shibboleth IdPs, die ab der Version 4.x installiert wurden, sollte die Transcoding-Regel für das Attribut schacHomeOrganization in der Attribute Registry hinterlegt sein: Eine der Dateien unterhalb von ./conf/attributes muss einen entsprechenden Abschnitt enthalten (z.B. schac.xml oder dfnMisc.xml, siehe unter Ergänzende Transcoding Properties).

Wenn Sie eine ältere IdP-Konfiguration weiterpflegen, die die Attribute Registry noch nicht verwendet, müssen Sie die Transcoding-Regel in die obige Attribut-Definition mit aufnehmen, wie es auch im IdP 3.x gemacht wurde.

<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.9" friendlyName="schacHomeOrganization" encodeType="false"/>
./conf/attribute-filter.xml
     <AttributeFilterPolicy id="tcs">
        <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth" />
        <AttributeRule attributeID="eduPersonEntitlement">
          <PermitValueRule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" />
        </AttributeRule>
        <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
        <AttributeRule attributeID="mail"                   permitAny="true"/>
        <AttributeRule attributeID="givenName"              permitAny="true"/>
        <AttributeRule attributeID="sn"                     permitAny="true"/>
        <AttributeRule attributeID="cn"                     permitAny="true"/>
        <AttributeRule attributeID="schacHomeOrganization"  permitAny="true"/>
     </AttributeFilterPolicy>
  • Zuletzt geändert: vor 15 Monaten