Dies ist eine alte Version des Dokuments!
Anpassung der Attributkonfiguration
Sie haben beim initialen Einrichten des IdPs eine Minimal-Konfiguration für Attributdefinitionen und -freigaben heruntergeladen. Nachdem Ihr IdP in die Produktivföderation aufgenommen wurde, müssen Sie nun für die echten SPs, auf die Ihre User*innen zugreifen sollen, Attribut-Freigaben konfigurieren. Hier und auf den folgenden Unterseiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI.
Einrichtung neuer Attributfreigaben
- Idealerweise sollte jeder SP-Betreiber die von seinem SP benötigten Attribute online dokumentieren und sie in den SP-Metadaten anführen.
- Bei vielen SPs müssen Sie den SP-Betreiber erst kontaktieren, bevor Ihre User*innen Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID Ihres IdP bei sich auf eine Autorisierungsliste setzen.
- Beachten Sie auch unsere Hinweise zu Datenschutz und Datensparsamkeit.
- Informationen zu den SPs in der DFN-AAI finden Sie im Verzeichnis.
- Einrichtungsinterne Dienste, an denen sich Externe nicht anmelden können sollen, konfigurieren Sie über lokale Metadaten.
- Testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie
- entweder auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!) oder
- mit Ihrem Produktiv-IdP, den Sie dazu in der Testföderation belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
- Der IdP vermerkt in der Logdatei
idp-audit.log
pro SP, welche Attribute übertragen wurden.
Siehe auch Dokumentation im Shibboleth Wiki
Beispiele
- NAHSH (Semesterticket Schleswig Holstein)
Kommerzielle Tenant SPs als lokale SPs
Besseren Ort hierfür finden!