Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:config-attributes-tcs [2022/03/10 11:11] – Wolfgang Pempe
+++ de:shibidp:config-attributes-tcs [2025/01/13 15:57] (aktuell) – Wolfgang Pempe
@@ Zeile 1: / Zeile 1: @@
 ====== TCS Cert-Manager ======
 (zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]])
+<callout type="danger" title="Neuer Dienstleister HARICA">
+Seit Januar 2025 werden insbesondere Server- und Client-Zertifikate vom neue Dienstleister [[de:dfnpki:harica2025|HARICA]] ausgestellt. \\
+Zur Attributfreigabe am IdP siehe dieses [[de:dfnpki:harica2025#voraussetzungen_fuer_die_aai-nutzung|Konfigurationsbeispiel]]
+</callout>
 Siehe hierzu die [[de:dfnpki:tcsfaq|Doku der DFN-PKI]] unter [[de:dfnpki:tcsfaq#anmeldung_mit_saml|Anmeldung mit SAML]]. Die AAI-Aspekte sind auch ausführlich im [[https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ|GÉANT-Wiki]] dargestellt.
-**Hinweis:** Alternativ zu ''displayName'' akzeptiert der Cert-Manager auch ''cn'' sowie ''sn'' in Kombination mit ''givenName''.
+<callout type="danger" title="Achtung beim Setzen des Entitlements urn:mace:terena.org:tcs:personal-user!">
+Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement '''urn:mace:terena.org:tcs:personal-user'' setzen: [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. **Testuser dürfen dieses Entitlement nicht erhalten!**
+</callout>
+===== Attribut-Definition schacHomeOrganization =====
+<file xml ./conf/attribute-resolver.xml>
+    <!-- im oberen Teil der Datei -->
+    <AttributeDefinition id="schacHomeOrganization" xsi:type="Simple">
+        <InputDataConnector ref="staticAttributes" attributeNames="schacHomeOrganization"/>
+    </AttributeDefinition>
+    <!-- Im unteren Teil der Datei tragen Sie die Domain Ihrer Einrichtung ein. -->
+    <DataConnector id="staticAttributes" xsi:type="Static">
+        <Attribute id="schacHomeOrganization">
+            <Value>beispiel-uni.de</Value>
+        </Attribute>
+    </DataConnector>
+</file>
+===== Transcoding-Regel =====
+Bei Shibboleth IdPs, die ab der Version 4.x installiert wurden, sollte die Transcoding-Regel für das Attribut ''schacHomeOrganization'' in der Attribute Registry hinterlegt sein: //Eine// der Dateien unterhalb von ''./conf/attributes'' muss einen entsprechenden Abschnitt enthalten (z.B. schac.xml //oder// dfnMisc.xml, siehe unter [[https://doku.tid.dfn.de/de:shibidp:dfn_misc_transcoder|Ergänzende Transcoding Properties]]).
+Wenn Sie eine ältere IdP-Konfiguration weiterpflegen, die die Attribute Registry noch nicht verwendet, müssen Sie die Transcoding-Regel in die obige Attribut-Definition mit aufnehmen, wie es auch im IdP 3.x gemacht wurde.<code xml><AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.9" friendlyName="schacHomeOrganization" encodeType="false"/></code>
+===== Filterregel =====
 <file xml ./conf/attribute-filter.xml>
      <AttributeFilterPolicy id="tcs">
@@ Zeile 14: / Zeile 42: @@
         <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
         <AttributeRule attributeID="mail"                   permitAny="true"/>
-        <AttributeRule attributeID="displayName"            permitAny="true"/>
+        <AttributeRule attributeID="givenName"              permitAny="true"/>
+        <AttributeRule attributeID="sn"                     permitAny="true"/>
+        <AttributeRule attributeID="cn"                     permitAny="true"/>
         <AttributeRule attributeID="schacHomeOrganization"  permitAny="true"/>
      </AttributeFilterPolicy>
 </file>