Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:shibidp:config-attributes [2023/04/26 16:14] – [Vervollständigung der Attributdefinitionen] Wolfgang Pempe | de:shibidp:config-attributes [2023/11/01 18:43] (aktuell) – Wolfgang Pempe |
---|
| |
**Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine ''<AttributeDefinition>'' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert. \\ | **Wenn Sie Attribute aus Ihrem IdM holen, die genau die gleiche ID haben, die auch in der Attribute Registry definiert ist, können Sie diese Attribute direkt importieren**, ohne für jedes eine ''<AttributeDefinition>'' zu schreiben. Abschnitte wie //"Ich definiere das Attribut ''mail'', indem ich das Attribut ''mail'' aus dem LDAP hole und es - wie in der Registry angegeben - als ''mail'' an SPs schicke"// sind nicht mehr nötig. Die zu importierenden Attribute werden unten in ''./conf/attribute-resolver.xml'' beim DataConnector mit der Direktive ''exportAttributes'' definiert. \\ |
**Ausnahme:** Falls Attribute wie ''eduPersonScopedAffiliation'' und ''eduPersonPrincipalName'', bereits mit Scope aus dem LDAP/AD kommen, dürfen diese nicht via ''exportAttributes'' direkt an die Registry weitergereicht werden, sondern müssen über eine entsprechende ''<AttributeDefinition>'' mit ''type="Prescoped"'' definiert werden. | **Ausnahme:** Falls Attribute wie ''eduPersonScopedAffiliation'' oder ''eduPersonPrincipalName'' bereits mit Scope aus dem LDAP/AD kommen, dürfen diese nicht via ''exportAttributes'' direkt an die Registry weitergereicht werden, sondern müssen über eine entsprechende ''<AttributeDefinition>'' mit ''type="Prescoped"'' definiert werden. |
| |
<file xml ./conf/attribute-resolver.xml> | <file xml ./conf/attribute-resolver.xml> |
* Freigabe von [[de:shibidp:config-attributes-subject_ids|SAML V2.0 Subject Identifier Attributes]] (subject-id, pairwise-id) | * Freigabe von [[de:shibidp:config-attributes-subject_ids|SAML V2.0 Subject Identifier Attributes]] (subject-id, pairwise-id) |
| |
==== Häufig genutzte Service Provider ==== | ==== Anonymous Access Entity Category ==== |
| * Manche SPs lassen sich bereits mit diesen Angaben nutzen. Siehe hierzu die Spezifikation unter https://refeds.org/category/anonymous |
| * Zur Attribut-Konfiguration von ''eduPersonScopedAffiliation'' siehe das Beispiel für [[de:shibidp:config-attributes-publishers|Verlagsanbieter]] |
| * Für IdPs, die die Attributfreigabe an diese Entity Category unterstützen, sollte unbedingt in der Metadatenverwaltung das entsprechende Entity Category Support Attribut gesetzt werden |
| |
| <file xml ./conf/attribute-filter.xml> |
| <AttributeFilterPolicy id="anonoymous_access"> |
| <PolicyRequirementRule |
| xsi:type="EntityAttributeExactMatch" |
| attributeName="http://macedir.org/entity-category" |
| attributeValue="https://refeds.org/category/anonymous" /> |
| <AttributeRule attributeID="schacHomeOrganization" permitAny="true" /> |
| <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" /> |
| </AttributeFilterPolicy> |
| </file> |
| |
| ==== Pseudonymous and Personalized Access Entity Categories ==== |
| * Beispiele für die [[de:shibidp:config-attributes-access_ecs|Freigabe von Attributen für diese Entity Categories]] |
| |
| ==== Häufig genutzte Service Provider ==== |
* Freigabe von ''eduPersonScopedAffiliation'' und ''eduPersonEntitlement'' an [[de:shibidp:config-attributes-publishers|Verlagsanbieter]] | * Freigabe von ''eduPersonScopedAffiliation'' und ''eduPersonEntitlement'' an [[de:shibidp:config-attributes-publishers|Verlagsanbieter]] |
* [[de:shibidp:config-attributes-eduroam|CAT eduroam]] | * [[de:shibidp:config-attributes-eduroam|CAT eduroam]] |
* [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung|DFNconf und DFN-Webconferencing]] | * [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung|DFNconf und DFN-Webconferencing]] |
* [[de:shibidp:config-attributes-dfnmailsupport|DFN-Mailsupport]] | * [[de:shibidp:config-attributes-dfnmailsupport|DFN-Mailsupport]] |
* [[de:shibidp:config-attributes-easyroam4edu|EasyRoam4Edu]] (Pilotbetrieb) | * [[de:shibidp:config-attributes-easyroam4edu|easyroam]] |
* [[de:shibidp:config-attributes-eduvpn|eduVPN]] (Pilotprojekt) | * [[de:shibidp:config-attributes-eduvpn|eduVPN]] (Pilotprojekt) |
* [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]] | * [[de:shibidp:config-attributes-erasmus|Erasmus-Dienste]] |
* [[de:shibidp:config-attributes-gigamove|Gigamove]] der RWTH Aachen | * [[de:shibidp:config-attributes-gigamove|Gigamove]] der RWTH Aachen |
* [[de:shibidp:config-attributes-inacademia|InAcademia]] | * [[de:shibidp:config-attributes-inacademia|InAcademia]] |
| * [[de:shibidp:config-attributes-dticket|Berechtigungsprüfung für ein ermäßigtes Deutschlandticket]] |
* [[de:shibidp:config-attributes-nahsh|NAHSH]] (Semesterticket Schleswig Holstein) | * [[de:shibidp:config-attributes-nahsh|NAHSH]] (Semesterticket Schleswig Holstein) |
* [[de:shibidp:config-attributes-kivuto|Kivuto / On the Hub]] | * [[de:shibidp:config-attributes-kivuto|Kivuto / On the Hub]] |