Anpassung der Attributkonfiguration

Dies ist eine alte Version des Dokuments!

Sie haben beim initialen Einrichten des IdPs eine Minimal-Konfiguration für Attributdefinitionen und -freigaben heruntergeladen. Nachdem Ihr IdP in die Produktivföderation aufgenommen wurde, müssen Sie nun für die echten SPs, auf die Ihre User*innen zugreifen sollen, Attribut-Freigaben konfigurieren. Hier und auf den folgenden Unterseiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI.

Die Minimal-Konfiguration enthält nur wenige Attribute. Welche weiteren Attributdefinitionen Sie einpflegen müssen, hängt davon ab, welche SPs Sie nutzen möchten und welche Attribute die von Ihrem IdP erwarten. Beginnen Sie z.B. mit unserer Liste der Attribute, die jeder IdP bereitstellen können sollte, und definieren Sie sie in ./conf/attribute-resolver.xml.

Idealerweise sollte jeder SP-Betreiber die von seinem SP benötigten Attribute online dokumentieren und sie in den SP-Metadaten anführen.
Bei vielen SPs müssen Sie den SP-Betreiber erst kontaktieren, bevor Ihre User*innen Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID Ihres IdP bei sich auf eine Autorisierungsliste setzen.
Beachten Sie auch unsere Hinweise zu Datenschutz und Datensparsamkeit.
Informationen zu den SPs in der DFN-AAI finden Sie im Verzeichnis.
Einrichtungsinterne Dienste, an denen sich Externe nicht anmelden können sollen, konfigurieren Sie über lokale Metadaten.
Testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie
- entweder auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!) oder
- mit Ihrem Produktiv-IdP, den Sie dazu in der Testföderation belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
- Der IdP vermerkt in der Logdatei idp-audit.log pro SP, welche Attribute übertragen wurden.