Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis Anpassung der Attributkonfiguration Vervollständigung der Attribute Registry dfnEduPerson-Schema einbinden eduPersonTargetedId hinterlegen Optional: SAML1 abschalten Vervollständigung der Attributdefinitionen Beispiele Einrichtung neuer Attributfreigaben Häufig genutzt Service Provider Kommerzielle Tenant SPs als lokale SPs Dies ist eine alte Version des Dokuments! ← Produktivbetrieb Attributes in a Nutshell → Anpassung der Attributkonfiguration Sie haben beim initialen Einrichten des IdPs eine Minimal-Konfiguration für Attributdefinitionen und -freigaben heruntergeladen. Nachdem Ihr IdP in die Produktivföderation aufgenommen wurde, müssen Sie nun für die echten SPs, auf die Ihre User*innen zugreifen sollen, Attribut-Freigaben konfigurieren. Hier und auf den folgenden Unterseiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI. Vervollständigung der Attribute Registry Ab Shibboleth IdP 4.x werden bestimmte Zusatzinformationen zu den definierten Attributen in der Attribute Registry vorgenommen. Das sind die Konfigurationsdateien unterhalb von ./conf/attributes. Alle Standardattribute sind dort bereits vorkonfiguriert. Pro Schema finden Sie eine .xml-Datei in dem Ordner, z.B. ./conf/attributes/eduPerson.xml. Anpassungen an der Attribute Registry Zur Definition mehrerer Attribute oder eines Schemas legen Sie eine .xml-Datei in ./conf/attributes und binden sie in ./conf/attributes/default-rules.xml ein. Zur Definition einzelner Attribute legen Sie eine .properties-Datei in ./conf/attributes/custom. dfnEduPerson-Schema einbinden Das dfnEduPerson-Schema wird nicht mitgeliefert, da es DFN-spezifische Attribute enthält. Wenn Sie es benötigen, gehen Sie so vor: Laden Sie sich unsere .xml-Datei herunter und legen Sie sie in den Ordner ./conf/attributes. Editieren Sie die Datei ./conf/attributes/default-rules.xml und importieren Sie dort das neue Schema:<import resource="dfnEduPerson.xml" /> eduPersonTargetedId hinterlegen Auch die veraltete, aber noch viel benutzte eduPersonTargetedId ist nicht vordefiniert. Da viele SPs sie noch verlangen, sollten Sie sie hinterlegen. Für ein einzelnes Attribut legen Sie eine .properties-Datei unterhalb von ./conf/attributes/custom an und befüllen sie mit UI-Informationen und Transcoding-Regeln. ./conf/attributes/custom/eduperson_targetedid.properties id=eduPersonTargetedID transcoder=SAML2XMLObjectTranscoder saml2.name=urn:oid:1.3.6.1.4.1.5923.1.1.1.10 displayName.de=Targeted ID (pseudonyme Kennung) displayName.en=Targeted ID (pseudonymous ID) description.de=Targeted ID: Eindeutige, pseudonyme Nutzerkennung, unterschiedlich pro Service Provider description.en=Targeted ID: A unique, pseudonymous identifier for a person, different for each service provider (Weitere Informationen zur eduPersonTargetedId) Alternatives VerfahrenAlternativ zum Anlegen einer Property-Datei kann ergänzend zur o.g. Datei dfnEduPerson.xml die Datei dfnMisc.xml heruntergeladen werden, die neben den Transcoding Properties für eduPersonTargetedID auch solche für weitere, häufiger genutzte Attribute aus dem SCHAC-Schema (z.B. schacPersonalUniqueCode) sowie bwidmOrgId enthält. Bitte nicht vergessen, diese Datei auch in ./conf/attributes/default-rules.xml zu referenzieren! Optional: SAML1 abschalten In den Dateien der Attribute Registry sehen Sie bei jedem Attribut zwei Transcoder, einen für SAML1 und einen für SAML2: <prop key="transcoder">SAML2StringTranscoder SAML1StringTranscoder</prop> <prop key="saml2.name">urn:oid:1.3.6.1.4.1.5923.1.1.1.1</prop> <prop key="saml1.name">urn:mace:dir:attribute-def:eduPersonAffiliation</prop> SAML1 ist veraltet. In der DFN-AAI gibt es keine Service Provider mehr, die ausschließlich SAML1 können. Daher kann der SAML1 Transcoder überall herausgenommen werden: <prop key="transcoder">SAML2StringTranscoder</prop> <prop key="saml2.name">urn:oid:1.3.6.1.4.1.5923.1.1.1.1</prop> Vervollständigung der Attributdefinitionen Die Minimal-Konfiguration enthält nur wenige Attribute. Welche weiteren Attributdefinitionen Sie einpflegen müssen, hängt davon ab, welche SPs Sie nutzen möchten und welche Attribute die von Ihrem IdP erwarten. Beginnen Sie z.B. mit unserer Liste der Attribute, die jeder IdP bereitstellen können sollte, und definieren Sie sie in ./conf/attribute-resolver.xml. Beispiele eduPersonUniqueId eduPersonTargetedID Einrichtung neuer Attributfreigaben Idealerweise sollte jeder SP-Betreiber die von seinem SP benötigten Attribute online dokumentieren und sie in den SP-Metadaten anführen. Bei vielen SPs müssen Sie den SP-Betreiber erst kontaktieren, bevor Ihre User*innen Zugriff bekommen. Eine Attributfreigabe alleine reicht nicht notwendigerweise aus, der Betreiber muss ggf. auch die entityID Ihres IdP bei sich auf eine Autorisierungsliste setzen. Beachten Sie auch unsere Hinweise zu Datenschutz und Datensparsamkeit. Informationen zu den SPs in der DFN-AAI finden Sie im Verzeichnis. Einrichtungsinterne Dienste, an denen sich Externe nicht anmelden können sollen, konfigurieren Sie über lokale Metadaten. Testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie entweder auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!) oder mit Ihrem Produktiv-IdP, den Sie dazu in der Testföderation belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein. Der IdP vermerkt in der Logdatei idp-audit.log pro SP, welche Attribute übertragen wurden. Siehe auch die Dokumentation zum Attributfilter im Shibboleth Wiki. Häufig genutzt Service Provider Freigabe von eduPersonScopedAffiliation und eduPersonEntitlement an Verlagsanbieter CAT eduroam DFNconf und DFN-Webconferencing eduVPN (Pilotprojekt) Gigamove der RWTH Aachen InAcademia NAHSH (Semesterticket Schleswig Holstein) Kivuto / On the Hub Einheitliche Attributfreigaben für alle lokalen SPs e-Research SPs: Code of Conduct-SPs CLARIN SPs REFEDS Research and Scholarship Entity Category ELIXIR Kommerzielle Tenant SPs als lokale SPs Besseren Ort hierfür finden! Cisco Webex LinkedIn Learning idp4, tutorial ← Produktivbetrieb Überblick: Tutorial zur IdP-Inbetriebnahme Attributes in a Nutshell → idp4 tutorial attribute Zuletzt geändert: vor 4 Jahren Anmelden