Dies ist eine alte Version des Dokuments!


Anpassung der Attributkonfiguration

Sie haben beim initialen Einrichten des IdPs eine Minimal-Konfiguration für Attributdefinitionen und -freigaben heruntergeladen. Nachdem Ihr IdP in die Produktivföderation aufgenommen wurde, müssen Sie nun für die echten SPs, auf die Ihre User*innen zugreifen sollen, Attribut-Freigaben konfigurieren. Hier und auf den folgenden Unterseiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI.

  • Idealerweise sollte jeder SP-Betreiber die von seinem SP benötigten Attribute online dokumentieren und sie in den SP-Metadaten anführen.
  • Bei vielen SPs müssen Sie den SP-Betreiber erst kontaktieren, bevor Ihre User*innen Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID Ihres IdP bei sich auf eine Autorisierungsliste setzen.
  • Informationen zu den SPs in der DFN-AAI finden Sie im Verzeichnis.
  • Einrichtungsinterne Dienste, an denen sich Externe nicht anmelden können sollen, konfigurieren Sie über lokale Metadaten.
  • Testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie
    • entweder auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!) oder
    • mit Ihrem Produktiv-IdP, den Sie dazu in der Testföderation belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
    • Der IdP vermerkt in der Logdatei idp-audit.log pro SP, welche Attribute übertragen wurden.

Siehe auch die Dokumentation zum Attributfilter im Shibboleth Wiki.

FIXME Besseren Ort hierfür finden!

  • Zuletzt geändert: vor 4 Jahren