Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp:config-attributes [2020/10/14 12:14] – Silke Meyer | de:shibidp:config-attributes [2020/12/08 09:51] – [Vervollständigung der Attributdefinitionen] Silke Meyer |
---|
(Weitere Informationen zur [[de:shibidp:config-attributes-edupersontargetedid#shibboleth_idp_4x_neuinstallationen|eduPersonTargetedId]]) | (Weitere Informationen zur [[de:shibidp:config-attributes-edupersontargetedid#shibboleth_idp_4x_neuinstallationen|eduPersonTargetedId]]) |
| |
<callout type="primary" title="Alternatives Verfahren"> | <callout color="#ff9900" title="Alternatives Verfahren"> |
Alternativ zum Anlegen einer Property-Datei kann zusätzlich zu ''dfnEduPerson.xml'' die Datei **[[de:shibidp:dfn_misc_transcoder|dfnMisc.xml]]** heruntergeladen werden, die neben den Transcoding Properties für **''eduPersonTargetedID''** auch solche für weitere, häufiger genutzte Attribute aus dem SCHAC-Schema (z.B. ''schacPersonalUniqueCode'') sowie ''bwidmOrgId'' enthält. Bitte nicht vergessen, auch diese Datei in ''./conf/attributes/default-rules.xml'' zu referenzieren! | Alternativ zum Anlegen einer Property-Datei kann zusätzlich zu ''dfnEduPerson.xml'' die Datei **[[de:shibidp:dfn_misc_transcoder|dfnMisc.xml]]** heruntergeladen werden, die neben den Transcoding Properties für **''eduPersonTargetedID''** auch solche für weitere, häufiger genutzte Attribute aus dem SCHAC-Schema (z.B. ''schacPersonalUniqueCode'') sowie ''bwidmOrgId'' enthält. Bitte nicht vergessen, auch diese Datei in ''./conf/attributes/default-rules.xml'' zu referenzieren! |
</callout> | </callout> |
Die Minimal-Konfiguration enthält nur wenige Attribute. Welche weiteren Attributdefinitionen Sie einpflegen müssen, hängt davon ab, welche SPs Sie nutzen möchten und welche Attribute die von Ihrem IdP erwarten. | Die Minimal-Konfiguration enthält nur wenige Attribute. Welche weiteren Attributdefinitionen Sie einpflegen müssen, hängt davon ab, welche SPs Sie nutzen möchten und welche Attribute die von Ihrem IdP erwarten. |
Beginnen Sie z.B. mit unserer [[de:common_attributes|Liste der Attribute, die jeder IdP bereitstellen können sollte]], und definieren Sie sie in ''./conf/attribute-resolver.xml''. | Beginnen Sie z.B. mit unserer [[de:common_attributes|Liste der Attribute, die jeder IdP bereitstellen können sollte]], und definieren Sie sie in ''./conf/attribute-resolver.xml''. |
| |
| **Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine ''<AttributeDefinition>'' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert: |
| |
| <file xml ./conf/attribute-resolver.xml> |
| <DataConnector id="myLDAP" xsi:type="LDAPDirectory" |
| ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}" |
| baseDN="%{idp.attribute.resolver.LDAP.baseDN}" |
| principal="%{idp.attribute.resolver.LDAP.bindDN}" |
| principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}" |
| useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}" |
| connectTimeout="%{idp.attribute.resolver.LDAP.connectTimeout}" |
| responseTimeout="%{idp.attribute.resolver.LDAP.responseTimeout}" |
| exportAttributes="mail givenName sn displayName ou"> |
| <!-- Um auch auf sog. operational attributes aus dem IdM zuzugreifen, ist die folgende Zeile nötig. --> |
| <ReturnAttributes>* +</ReturnAttributes> |
| <FilterTemplate> |
| <![CDATA[ |
| %{idp.attribute.resolver.LDAP.searchFilter} |
| ]]> |
| </FilterTemplate> |
| <ConnectionPool |
| minPoolSize="%{idp.pool.LDAP.minSize:3}" |
| maxPoolSize="%{idp.pool.LDAP.maxSize:10}" |
| blockWaitTime="%{idp.pool.LDAP.blockWaitTime:PT3S}" |
| validatePeriodically="%{idp.pool.LDAP.validatePeriodically:true}" |
| validateTimerPeriod="%{idp.pool.LDAP.validatePeriod:PT5M}" |
| expirationTime="%{idp.pool.LDAP.idleTime:PT10M}" /> |
| </DataConnector> |
| </file> |
| |
==== Beispiele ==== | ==== Beispiele ==== |
* [[de:shibidp:config-attributes-edupersonuniqueid|eduPersonUniqueId]] | * [[de:shibidp:config-attributes-edupersonuniqueid|eduPersonUniqueId]] |
* [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] | * [[de:shibidp:config-attributes-edupersontargetedid|eduPersonTargetedID]] (veraltet, aber noch recht verbreitet) |
| |
===== Einrichtung neuer Attributfreigaben ===== | ===== Einrichtung neuer Attributfreigaben ===== |