Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:config-attributes [2023/04/26 16:14] – [Vervollständigung der Attributdefinitionen] Wolfgang Pempede:shibidp:config-attributes [2025/01/13 15:49] (aktuell) – [Häufig genutzte Service Provider] Wolfgang Pempe
Zeile 18: Zeile 18:
 ==== eduPersonTargetedID und andere verbreitete Attribute hinterlegen ==== ==== eduPersonTargetedID und andere verbreitete Attribute hinterlegen ====
 Auch die veraltete, aber noch viel benutzte [[de:common_attributes#a11|eduPersonTargetedID]] ist nicht vordefiniert. Da viele SPs sie noch verlangen, sollten Sie sie hinterlegen. Wir haben eine kleine Sammlung verbreiteter, nicht mitgelieferter Attribute für den IdP 4.x zusammengestellt. Sie enthält neben den Transcoding Properties für ''eduPersonTargetedID'' auch gängige Attribute aus dem SCHAC-Schema (z.B. ''schacPersonalUniqueCode'') und ''bwidmOrgId''. Laden Sie sich die Datei **[[de:shibidp:dfn_misc_transcoder|dfnMisc.xml]]** herunter und legen Sie sie nach ''./conf/attributes/dfnMisc.xml''. Referenzieren Sie sie in ''./conf/attributes/default-rules.xml''. Auch die veraltete, aber noch viel benutzte [[de:common_attributes#a11|eduPersonTargetedID]] ist nicht vordefiniert. Da viele SPs sie noch verlangen, sollten Sie sie hinterlegen. Wir haben eine kleine Sammlung verbreiteter, nicht mitgelieferter Attribute für den IdP 4.x zusammengestellt. Sie enthält neben den Transcoding Properties für ''eduPersonTargetedID'' auch gängige Attribute aus dem SCHAC-Schema (z.B. ''schacPersonalUniqueCode'') und ''bwidmOrgId''. Laden Sie sich die Datei **[[de:shibidp:dfn_misc_transcoder|dfnMisc.xml]]** herunter und legen Sie sie nach ''./conf/attributes/dfnMisc.xml''. Referenzieren Sie sie in ''./conf/attributes/default-rules.xml''.
- 
-==== Neu hinzugekommene Attribute im eduPerson-Schema ==== 
-Die mit dem Shibboleth IdP ausgelieferte Datei ''./conf/attributes/eduPerson.xml'' ist inzwischen nicht mehr auf dem aktuellen Stand der Spezifikation des eduPerson-Schemas. Bis hier eine neue, ergänzte Version mit einem IdP-Update erscheint, empfehlen wir, die hinzugekommenen Attribute in einzelnen ''*.properties''-Dateien unterhalb von ''./conf/attributes/custom'' zu pflegen. Diese Dateien können entfernt werden, wenn die ausgelieferte Datei ''./conf/attributes/eduPerson.xml'' die Attribute enthält. 
- 
-<file properties /opt/shibboleth-idp/conf/attributes/custom/eduPersonDisplayPronouns.properties> 
-id=eduPersonDisplayPronouns 
-transcoder=SAML2StringTranscoder 
-saml2.name=urn:oid:1.3.6.1.4.1.5923.1.1.1.18 
-displayName.en=Displayed pronouns 
-displayName.de=Angezeigte Pronomen 
-description.en=Text representing the word(s) this person prefers as their personal pronoun(s) 
-description.de=Text, den diese Person als persönliche(s) Pronomen bevorzugt 
-</file> 
  
 ==== eduPersonAssurance und REFEDS Assurance Framework ==== ==== eduPersonAssurance und REFEDS Assurance Framework ====
Zeile 50: Zeile 37:
  
 **Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine ''<AttributeDefinition>'' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert. \\ **Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine ''<AttributeDefinition>'' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert. \\
-**Ausnahme:** Falls Attribute wie ''eduPersonScopedAffiliation'' und ''eduPersonPrincipalName'' bereits mit Scope aus dem LDAP/AD kommen, dürfen diese nicht via ''exportAttributes'' direkt an die Registry weitergereicht werden, sondern müssen über eine entsprechende ''<AttributeDefinition>'' mit ''type="Prescoped"'' definiert werden. +**Ausnahme:** Falls Attribute wie ''eduPersonScopedAffiliation'' oder ''eduPersonPrincipalName'' bereits mit Scope aus dem LDAP/AD kommen, dürfen diese nicht via ''exportAttributes'' direkt an die Registry weitergereicht werden, sondern müssen über eine entsprechende ''<AttributeDefinition>'' mit ''type="Prescoped"'' definiert werden. 
  
 <file xml ./conf/attribute-resolver.xml> <file xml ./conf/attribute-resolver.xml>
Zeile 95: Zeile 82:
     * Der IdP vermerkt in der Logdatei ''idp-audit.log'' pro SP, welche Attribute übertragen wurden.     * Der IdP vermerkt in der Logdatei ''idp-audit.log'' pro SP, welche Attribute übertragen wurden.
  
-Siehe auch die Dokumentation zum [[https://wiki.shibboleth.net/confluence/display/IDP4/AttributeFilterConfiguration|Attributfilter]] im Shibboleth Wiki.+Siehe auch die Dokumentation zum [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501794/AttributeFilterConfiguration|Attributfilter]] im Shibboleth Wiki.
 ==== Subject Identifier Attributes ==== ==== Subject Identifier Attributes ====
   * Freigabe von [[de:shibidp:config-attributes-subject_ids|SAML V2.0 Subject Identifier Attributes]] (subject-id, pairwise-id)   * Freigabe von [[de:shibidp:config-attributes-subject_ids|SAML V2.0 Subject Identifier Attributes]] (subject-id, pairwise-id)
  
-==== Häufig genutzte Service Provider ====+==== Anonymous Access Entity Category ==== 
 +  * Manche SPs lassen sich bereits mit diesen Angaben nutzen. Siehe hierzu die Spezifikation unter https://refeds.org/category/anonymous 
 +  * Zur Attribut-Konfiguration von ''eduPersonScopedAffiliation'' siehe das Beispiel für [[de:shibidp:config-attributes-publishers|Verlagsanbieter]]  
 +  * Für IdPs, die die Attributfreigabe an diese Entity Category unterstützen, sollte unbedingt in der Metadatenverwaltung das entsprechende Entity Category Support Attribut gesetzt werden 
  
 +<file xml ./conf/attribute-filter.xml>
 +<AttributeFilterPolicy id="anonoymous_access">
 +   <PolicyRequirementRule 
 +         xsi:type="EntityAttributeExactMatch"
 +         attributeName="http://macedir.org/entity-category"
 +         attributeValue="https://refeds.org/category/anonymous" />
 +      <AttributeRule attributeID="schacHomeOrganization"      permitAny="true" />
 +      <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
 +</AttributeFilterPolicy>
 +</file>
 +
 +==== Pseudonymous and Personalized Access Entity Categories ====
 +  * Beispiele für die [[de:shibidp:config-attributes-access_ecs|Freigabe von Attributen für diese Entity Categories]]
 +
 +==== Häufig genutzte Service Provider ====
   * Freigabe von ''eduPersonScopedAffiliation'' und ''eduPersonEntitlement'' an [[de:shibidp:config-attributes-publishers|Verlagsanbieter]]   * Freigabe von ''eduPersonScopedAffiliation'' und ''eduPersonEntitlement'' an [[de:shibidp:config-attributes-publishers|Verlagsanbieter]]
   * [[de:shibidp:config-attributes-eduroam|CAT eduroam]]   * [[de:shibidp:config-attributes-eduroam|CAT eduroam]]
 +  * [[de:shibidp:config-attributes-dticket|Berechtigungsprüfung für ein ermäßigtes Deutschlandticket]]
   * [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung|DFNconf und DFN-Webconferencing]]   * [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung|DFNconf und DFN-Webconferencing]]
   * [[de:shibidp:config-attributes-dfnmailsupport|DFN-Mailsupport]]   * [[de:shibidp:config-attributes-dfnmailsupport|DFN-Mailsupport]]
-  * [[de:shibidp:config-attributes-easyroam4edu|EasyRoam4Edu]] (Pilotbetrieb)+  * [[de:shibidp:config-attributes-dfnterminplaner|DFN-Terminplaner 6]] 
 +  * [[de:shibidp:config-attributes-easyroam4edu|easyroam]] 
   * [[de:shibidp:config-attributes-eduvpn|eduVPN]] (Pilotprojekt)   * [[de:shibidp:config-attributes-eduvpn|eduVPN]] (Pilotprojekt)
   * [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]]   * [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]]
   * [[de:shibidp:config-attributes-gigamove|Gigamove]] der RWTH Aachen   * [[de:shibidp:config-attributes-gigamove|Gigamove]] der RWTH Aachen
 +  * [[de:dfnpki:harica2025#voraussetzungen_fuer_die_aai-nutzung|HARICA CertManager]]
   * [[de:shibidp:config-attributes-inacademia|InAcademia]]   * [[de:shibidp:config-attributes-inacademia|InAcademia]]
-  * [[de:shibidp:config-attributes-nahsh|NAHSH]] (Semesterticket Schleswig Holstein) 
   * [[de:shibidp:config-attributes-kivuto|Kivuto / On the Hub]]   * [[de:shibidp:config-attributes-kivuto|Kivuto / On the Hub]]
-  * [[de:shibidp:config-attributes-tcs|TCS Cert-Manager]]+  * [[de:shibidp:config-attributes-nahsh|NAHSH]] (Semesterticket Schleswig Holstein) 
 +  * [[de:shibidp:config-attributes-nfdi-aai|NFDI-AAI: Attribute für Community AAIs]] 
 +  * [[de:shibidp:oidc-proxy|OpenID-Connect-Proxy]] mit angeschlossenen Diensten (Proxy für Dienste, die ausschließlich OpenID Connect unterstützen)
   * [[de:shibidp:config-attributes-coco#attributfreigabe_fuer_code-of-conduct_sps|Attributfreigaben nach Angaben in SP-Metadaten]] richten (Beispiel)   * [[de:shibidp:config-attributes-coco#attributfreigabe_fuer_code-of-conduct_sps|Attributfreigaben nach Angaben in SP-Metadaten]] richten (Beispiel)
   * [[de:shibidp:config-attributes-local-sps|Einheitliche Attributfreigaben für alle lokalen SPs]]   * [[de:shibidp:config-attributes-local-sps|Einheitliche Attributfreigaben für alle lokalen SPs]]
Zeile 141: Zeile 150:
 Für die umgekehrte Richtung, also die Bekanntmachung der SP-Metadaten im IdP gehen Sie so vor: Sie erhalten die SP-Metadaten vom Anbieter. Damit legen Sie einen neuen SP in ihrem Metadatenzugang an. Nehmen Sie ihn nur in den lokalen Metadatensatz Ihrer Heimateinrichtung auf, der ja meist im IdP eh bereits [[de:metadata_local|konfiguriert]] ist. Auch hier müssen Sie Metadatenaktualisierungen auf Seite des SPs selbst einpflegen. Für die umgekehrte Richtung, also die Bekanntmachung der SP-Metadaten im IdP gehen Sie so vor: Sie erhalten die SP-Metadaten vom Anbieter. Damit legen Sie einen neuen SP in ihrem Metadatenzugang an. Nehmen Sie ihn nur in den lokalen Metadatensatz Ihrer Heimateinrichtung auf, der ja meist im IdP eh bereits [[de:metadata_local|konfiguriert]] ist. Auch hier müssen Sie Metadatenaktualisierungen auf Seite des SPs selbst einpflegen.
  
-{{tag>idp4 tutorial attribute}}+{{tag>tutorial attribute}}
  • Zuletzt geändert: vor 24 Monaten