Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp:config-attributes [2022/10/11 09:32] – [Neu hinzugekommene Attribute im eduPerson-Schema] eduPersonOrcid ist doch schon beim IdP dabei. Silke Meyer | de:shibidp:config-attributes [2023/04/26 16:11] – Wolfgang Pempe |
---|
Beginnen Sie z.B. mit unserer [[de:common_attributes|Liste der Attribute, die jeder IdP bereitstellen können sollte]], und definieren Sie sie in ''./conf/attribute-resolver.xml''. | Beginnen Sie z.B. mit unserer [[de:common_attributes|Liste der Attribute, die jeder IdP bereitstellen können sollte]], und definieren Sie sie in ''./conf/attribute-resolver.xml''. |
| |
**Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine ''<AttributeDefinition>'' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert: | **Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine ''<AttributeDefinition>'' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert. \\ |
| **Ausnahme:** Attribute wie ''eduPersonScopedAffiliation'' und ''eduPersonPrincipalName'', die bereits mit Scope aus dem LDAP/AD kommen müssen über eine entsprechende ''<AttributeDefinition>'' mit ''type="Prescoped"'' definiert werden. |
| |
<file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
* [[de:shibidp:config-attributes-coco#attributfreigabe_fuer_code-of-conduct_sps|Attributfreigaben nach Angaben in SP-Metadaten]] richten (Beispiel) | * [[de:shibidp:config-attributes-coco#attributfreigabe_fuer_code-of-conduct_sps|Attributfreigaben nach Angaben in SP-Metadaten]] richten (Beispiel) |
* [[de:shibidp:config-attributes-local-sps|Einheitliche Attributfreigaben für alle lokalen SPs]] | * [[de:shibidp:config-attributes-local-sps|Einheitliche Attributfreigaben für alle lokalen SPs]] |
| * [[de:shibidp:config-attributes-dependencies|Attributfreigabe in Abhängigkeit des Wertes eines anderen Attributes]] |
* e-Research SPs: | * e-Research SPs: |
* [[de:shibidp:config-attributes-coco|Code of Conduct-SPs]] | * [[de:shibidp:config-attributes-coco|Code of Conduct-SPs]] |
Wir kennen diese SPs nicht und können deren Support nicht übernehmen. Erfragen Sie, ob der SP standardkonformes SAML2 spricht, so dass Ihr IdP die erforderlichen Attribute auch liefern kann. (Oder definieren Sie in Ihrem IdP ggf. die selbst ausgedachten Attribute einzelner Anbieter...) | Wir kennen diese SPs nicht und können deren Support nicht übernehmen. Erfragen Sie, ob der SP standardkonformes SAML2 spricht, so dass Ihr IdP die erforderlichen Attribute auch liefern kann. (Oder definieren Sie in Ihrem IdP ggf. die selbst ausgedachten Attribute einzelner Anbieter...) |
| |
Der Metadatenaustausch kann so erfolgen: Sie erhalten i.d.R. eine Möglichkeit, die Metadaten Ihres IdP per Formular o.ä. an den SP zu übermitteln. Die aktuellen Metadaten Ihres IdP können Sie sich aus der Metadatenverwaltung holen, wie hier abgebildet: | Der Metadatenaustausch kann so erfolgen: Sie erhalten i.d.R. eine Möglichkeit, die Metadaten Ihres IdP per Formular o.ä. an den SP zu übermitteln. Die aktuellen Metadaten Ihres IdP können Sie sich aus der Metadatenverwaltung holen, wie unter [[de:shibidp:troubleshooting|Troubleshooting]] beschrieben. |
| |
{{:de:aai:ll9.png?800|}} | |
| |
Achtung: Jede Metadatenänderung müssen Sie dort von Hand nachziehen, z.B. erneuerte IdP-Zertifikate für die SAML-basierte Kommunikation. | Achtung: Jede Metadatenänderung müssen Sie dort von Hand nachziehen, z.B. erneuerte IdP-Zertifikate für die SAML-basierte Kommunikation. |