Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:config-tou [2021/04/22 16:31] – Silke Meyer
+++ de:shibidp:config-tou [2024/09/27 15:12] (aktuell) – [Aktivierung der Nutzungsbedingungen] Doreen Liebenau
@@ Zeile 8: / Zeile 8: @@
 ===== Aktivierung der Nutzungsbedingungen =====
-Mit der folgenden Konfiguration erreichen Sie, dass die Nutzer*innen bei der erstmaligen Anmeldung über den IdP und bei Änderungen an den Nutzungsbedingungen informiert und um Zustimmung gebeten werden.
+Mit der folgenden Konfiguration erreichen Sie, dass die Nutzer*innen bei der erstmaligen Anmeldung über den IdP und bei Änderungen an den Nutzungsbedingungen informiert und um Zustimmung gebeten werden. Die Nutzungsbedingungen aktivieren Sie in folgenden Schritten:
-Die Nutzungsbedingungen aktivieren Sie in folgenden Schritten:
+Sie müssen zunächst das [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199509862/ConsentConfiguration|Intercept Consent-Modul aktivieren]], damit Sie die erste Datei überhaupt haben.<code bash>bin/module.sh -t idp.intercept.Consent || bin/module.sh -e idp.intercept.Consent</code>
-**Ab dem IdP 4.1.0** müssen Sie zunächst das [[https://wiki.shibboleth.net/confluence/display/IDP4/ConsentConfiguration|Intercept Consent-Modul aktivieren]], damit Sie die erste Datei überhaupt haben:<code bash>bin/module.sh -t idp.intercept.Consent || bin/module.sh -e idp.intercept.Consent</code>
+Dann modifizieren Sie die Datei ''./conf/intercept/consent-intercept-config.xml'':
-Dann modifizieren Sie erstens zwei Stellen in der Datei ''./conf/intercept/consent-intercept-config.xml'':
 <file xml ./conf/intercept/consent-intercept-config.xml>
@@ Zeile 24: / Zeile 22: @@
     demonstrates use of a custom mapping table from the relying party name to the key to use.
     -->
-    <!-- Diesen alias-Block deaktivieren, damit das folgende bean aktiv werden kann -->
-    <!-- <alias alias="shibboleth.consent.terms-of-use.Key" name="shibboleth.RelyingPartyIdLookup.Simple" /> -->
     <!-- bean einfügen, das die statischen Terms-Of-Use aus consent-messages.properties referenziert -->
@@ Zeile 36: / Zeile 31: @@
 </file>
-und zweitens modifizieren Sie die beiden SSO-Zeilen in:
+Zweitens modifizieren Sie das SAML2.SSO-Profil in ''./conf/relying-party.xml''. Das SAML1-Profil Shibboleth.SSO wird nicht mehr benötigt. Falls Sie auf die Idee kommen, es einzukommentieren, muss dort dieselbe Änderung gemacht machen, wie hier im Beispiel:
 <file xml ./conf/relying-party.xml>
-    <!--
+    <!-- Default configuration, with default settings applied for all profiles. -->
-    Default configuration, with default settings applied for all profiles, and enables
-    the attribute-release consent flow.
-    -->
     <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
         <property name="profileConfigurations">
             <list>
-                <!-- Shibboleth-SSO default-Zeile deaktivieren
+                <!-- SAML 1.1 and SAML 2.0 AttributeQuery are disabled by default. -->
-                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> -->
+                <!--
-                <!-- und ersetzen durch -->
+                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="#{ {'terms-of-use', 'attribute-release'} }"/>
-                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="#{ {'terms-of-use', 'attribute-release'} }" />
                 <ref bean="SAML1.AttributeQuery" />
                 <ref bean="SAML1.ArtifactResolution" />
-                <!-- SAML2-SSO default-Zeile deaktivieren
+                -->
-                <bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release" /> -->
+                <!-- SAML2.SSO Standard-Zeile erweitern: -->
-                <!-- und ersetzen durch -->
                 <bean parent="SAML2.SSO" p:postAuthenticationFlows="#{ {'terms-of-use', 'attribute-release'} }" />
-                <!-- danach alles lassen wie es ist -->
                 <ref bean="SAML2.ECP" />
-                <ref bean="...
+                <ref bean="SAML2.Logout" />
+                <!--
+                <ref bean="SAML2.AttributeQuery" />
+                -->
+                <ref bean="SAML2.ArtifactResolution" />
+            </list>
+        </property>
+    </bean>
 </file>
 Starten Sie Tomcat neu:
 <code bash>
-root@idp:~# systemctl restart tomcat9
+root@idp:~# systemctl restart tomcat10
+</code>
+Den eigentlichen Text der Nutzungsbedingungen konfigurieren Sie in ''./messages/messages.properties'' bzw. ''./messages/messages_de.properties'':<file properties ./messages/messages.properties>
+my-terms     = my-tou
+my-tou.title = Example Terms of Use
+my-tou.text  = This is an example Terms of Use
+</file>
+Nach Änderungen im ''messages''-Ordner müssen Sie die Datei ''./war/idp.war'' erneuern lassen:
+<code bash>
+root@idp:~# /opt/shibboleth-idp/bin/build.sh
 </code>
@@ Zeile 120: / Zeile 127: @@
 <callout color="#ff9900" title="EU-DSGVO">
-Falls Sie dem [[de:shibidp3consent_dsgvo|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]] folgen, finden Sie dort eine angepasste Datei ''tou.jsp''.
+Falls Sie dem [[de:shibidp:config-consent-dsgvo|Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls]] folgen, finden Sie dort eine angepasste Datei ''tou.jsp''.
 </callout>
@@ Zeile 148: / Zeile 155: @@
 geändert werden.
-{{tag>idp4 tutorial tou nutzungsbedingungen consent}}
+====== Attribute ohne Personenbezug vom User Consent ausnehmen ======
+Attribute, die reine Verwaltungsinformationen ohne Personenbezug wie z.B. Level of Assurance transportieren, können ggf. vom User Consent ausgenommen werden:
+<file xml ./conf/intercept/consent-intercept-config.xml>
+ ...
+    <util:set id="shibboleth.consent.attribute-release.IgnoredAttributeIDs">
+        <value>eduPersonAssurance</value>
+    </util:set>
+ ...
+</file>
+{{tag>idp4 tutorial tou nutzungsbedingungen consent included-in-ansible}}

idp4 tutorial tou nutzungsbedingungen consent included-in-ansible