Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3per_attribute_consent_4_not_required [2020/04/16 09:05] – Silke Meyer
+++ de:shibidp:config-per-attribute-consent [2021/05/03 15:35] (aktuell) – Link aktualisiert Silke Meyer
@@ Zeile 1: / Zeile 1: @@
 ====== Per Attribute Consent für vom SP nicht 'required' Attribute ======
-In den allgemeinen Properties (''conf/idp.properties'') des IdP kann man einen //per Attrbute Consent// einstellen (''idp.consent.allowPerAttribute = true''). D.h. der Nutzer kann für jedes Attribut über eine Checkbox entscheiden, ob der Wert an den SP übertragen wird oder nicht.
+In den allgemeinen Properties (''conf/idp.properties'') des IdP kann man einen //per Attrbute Consent// einstellen (''idp.consent.allowPerAttribute = true''). D.h. der Nutzer kann für jedes Attribut über eine Checkbox entscheiden, ob der Wert an den SP übertragen wird oder nicht. Das macht im Sinne des Prozesses aber nur Sinn, für die Attribute, die vom SP nicht explizit über die Metadaten (mit dem Tag ''required="True"'' versehen) angefordert werden.
-Das macht im Sinne des Prozesses aber nur Sinn, für die Attribute, die vom SP nicht explizit über die Metadaten (mit dem Tag ''required="True"'' versehen) angefordert werden.
 Um das auf der Attribute-Release Seite zu berücksichtigen sind folgende zwei kleine Anpassungen vorzunehmen:
-  * Eine schon vorhandene IdP-Class in das Velocity Template propagieren. Dazu ist die Datei ''system/flows/intercept/attribute_release_flow.xml'' wie folgt zu ergänzen:
+  * Eine schon vorhandene IdP-Class in das Velocity Template propagieren. Dazu ist die Datei ''system/flows/intercept/attribute_release_flow.xml''  wie folgt zu ergänzen:
 <file xml system/flows/intercept/attribute-release_flow.xml>
 ...
 <!-- Display attribute release page. -->
 <view-state id="DisplayAttributeReleasePage" view="#{flowRequestContext.activeFlow.id}">
    <on-render>
@@ Zeile 20: / Zeile 18: @@
      <evaluate expression="flowRequestContext.getExternalContext().getNativeResponse()" result="viewScope.response" />
      <evaluate expression="opensamlProfileRequestContext" result="viewScope.profileRequestContext" />
      <evaluate expression="new net.shibboleth.idp.consent.logic.impl.AttributeDisplayNameFunction(flowRequestContext.getExternalContext().getNativeRequest(), FallbackLanguages)"
                result="viewScope.attributeDisplayNameFunction" />
      <evaluate expression="new net.shibboleth.idp.consent.logic.impl.AttributeDisplayDescriptionFunction(flowRequestContext.getExternalContext().getNativeRequest(), FallbackLanguages)"
                result="viewScope.attributeDisplayDescriptionFunction" />
      <!-- Get RequiredPredicate object as $attributeRequired in velocity template -->
      <evaluate expression="new net.shibboleth.idp.consent.logic.impl.IsAttributeRequiredPredicate(flowRequestContext.getExternalContext().getNativeRequest())"
                result="viewScope.attributeRequired" />
 ...
-</file>
-  * Im Velocity Template die Checkbox nur für non-required Attribute anzeigen. Dazu die Datei ''views/intercept/attribute-release.vm'' anpassen:
+</file>
-<file html views/intercept/attribute-release.vm>
+  * Im Velocity Template die Checkbox nur für non-required Attribute anzeigen. Dazu die Datei ''views/intercept/attribute-release.vm''  anpassen:
+<file html4strict views/intercept/attribute-release.vm>
 ...
             <!-- Attribute Liste - Tabelle Start -->
             <table class="listing">
                 <thead>
@@ Zeile 51: / Zeile 50: @@
                                         if(checkboxes[i].type != "hidden"){
                                             checkboxes[i].checked = source.checked;
                                         }
                                     }
                                 }
                                 </script>
                                 <input type="checkbox" onClick="toggle(this)" checked />#springMessageText("idp.attribute-release.ToggleAll", "Alle")<br/>
@@ Zeile 78: / Zeile 77: @@
                                         <!-- not required, allow to check separably -->
                                         #set ($inputType = "checkbox")
                                     #else
                                         <!-- required, don't allow to check separably -->
                                         #set ($inputType = "hidden")
@@ Zeile 93: / Zeile 92: @@
                 </tbody>
 ...
 </file>
@@ Zeile 102: / Zeile 103: @@
 idp.attribute-release.requiredLabel = notwendig
 ...
 </file>
-Wird der AttributeQuery benutzt, muss auch hier der letzte Consent vom Nutzer beachtet werden. Dazu ist in
+Wird der AttributeQuery benutzt, muss auch hier der letzte Consent vom Nutzer beachtet werden. Dazu ist in ''conf/intercept/consent-intercept-config.xml''  für die Bean ''shibboleth.consent.AttributeQuery.Condition''  der parent Parameter auf den Wert ''shibboleth.Conditions.TRUE''  zu setzen, siehe hierzu unter [[de:shibidp:config-storage#user_consent_zu_attributfreigabe_bei_attribute_queries_beruecksichtigen|Server-Side-Storage, Sessions, User Consent und Persistent Identifier]]. Damit werden auch AttributeQueries gegen die zuletzt gespeicherte Nutzereinwilligung gefiltert. Hat der Nutzer nur einmal zugestimmt, werden keine Attribute übertragen.
-''conf/intercept/consent-intercept-config.xml'' für die Bean ''shibboleth.consent.AttributeQuery.Condition'' der
-parent Parameter auf den Wert ''shibboleth.Conditions.TRUE'' zu setzen, siehe hierzu unter [[de:shibidp3storage#user_consent_zu_attributfreigabe_bei_attribute_queries_beruecksichtigen|Server-Side-Storage, Sessions, User Consent und Persistent Identifier]].
-Damit werden auch AttributeQueries gegen die zuletzt gespeicherte Nutzereinwilligung gefiltert. Hat der Nutzer nur einmal zugestimmt,
-werden keine Attribute übertragen.
 Für das Propagieren des zusätzlichen Objektes in den Attribute-Release-Flow ist leider ein Neustart des IdP nötig.
-{{tag>idp3}}
+Wer sich davor scheut, den System Flow zu editieren, kann die Referenz auch direkt im Velocity Template holen. Das ist nicht unbedingt schön, aber funktional getestet mit dem IDP4. Das Instanziieren eines neuen Objekts ist in Velocity nicht vorgesehen, deswegen sieht der Code etwas abenteuerlich aus. Die Änderungen beschränken sich dann auf die Datei views/intercept/attribute-release.vm:
+<code>
+...
+#set ($requestClass = $attributeReleaseContext.getClass().forName("javax.servlet.http.HttpServletRequest"))
+#set ($isAttributeRequired = $attributeReleaseContext.getClass().forName("net.shibboleth.idp.consent.logic.impl.IsAttributeRequiredPredicate").getDeclaredConstructor($requestClass).newInstance($request))
+...
+</code>
+<code>
+...
+   <td style="vertical-align: top">
+                                        #if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled && !($isAttributeRequired.apply($attribute)))
+                                            #set ($inputType = "checkbox")
+                                        #else
+                                            #set ($inputType = "hidden")
+                                        #end
+                                        <input id="$attribute.id" type="$inputType" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($attribute.id)" checked>
+...
+</code>
+<callout color="#ff9900" title="IdP 4?">
+Das Statement $isAttributeRequired.apply($attribute) produziert beim IDP4 eine Deprecation Warnung und muss durch $isAttributeRequired.test($attribute) ersetzt werden. Das gilt vermutlich auch für die Anleitung oben mit dem System flow.
+</callout>
+{{tag>fixme}}

fixme