Dies ist eine alte Version des Dokuments!

DFN-Portale

(zurück zur Übersicht)

Voraussetzungen für die AAI-Nutzung von Portalen im DFN

Gültig für:

  • eduroam-Metadaten-Portal
  • Mailsupport-Portal

Die Konfiguration erfordert üblicherweise die Mithilfe Ihrer AAI-Administration, da die Attributfreigaben anzupassen sind.

  • Ihr Identity-Provider muss in die DFN-AAI eingebunden sein. Unter https://tools.aai.dfn.de/entities/ können Sie nach Ihrer Einrichtung suchen und sehen, ob diese an der DFN-AAI teilnimmt.
  • Je nach Portal müssen Berechtigungen im Attribut eduPersonEntitlement übertragen werden. Die Attributfreigabe sollte nur die notwendigen Berechtigungen weitergeben. Zur Zeit definiert:
    • Eduroam Metadaten Portal: urn:geant:dfn.de:eduroam:emp:admin
    • Mailsupport Portal: Kein Entitlement notwendig
  • Die folgende Freigabe übermittelt die notwendigen Attribute:
./conf/attribute-filter.xml
   <!--  Release to DFN-Portale -->
   <AttributeFilterPolicy id="dfn-portale">
      <PolicyRequirementRule xsi:type="OR">
         <Rule xsi:type="Requester" value="https://kc-proxy2.dfn-cert.de/idp/shibboleth" />
         <Rule xsi:type="Requester" value="https://kc-proxy.dfn-cert.de/idp/shibboleth" />
      </PolicyRequirementRule>
      <AttributeRule attributeID="displayName" permitAny="true" />
      <AttributeRule attributeID="givenName" permitAny="true" />
      <AttributeRule attributeID="sn" permitAny="true" />
      <AttributeRule attributeID="mail" permitAny="true" />
      <AttributeRule attributeID="eduPersonAssurance" permitAny="true" />
      <!-- Entitlements, die für angeschlossene Portale benötigt werden.
           Zur Zeit definiert:
           Administration Eduroam Metadaten Portal: urn:geant:dfn.de:eduroam:emp:admin
           Administration Mailsupport Portal:        Kein Entitlement notwendig
           Bitte individuell konfigurieren oder auch komplett weglassen
       -->
       <!--   <AttributeRule attributeID="eduPersonEntitlement">
                   <PermitValueRule xsi:type="Value" value="urn:geant:dfn.de:eduroam:emp:admin"/>
              </AttributeRule>
       -->
       <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> 
       <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
       <AttributeRule attributeID="samlPairwiseID" permitAny="true" /> 
       <AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
   </AttributeFilterPolicy>

Hinweis: Bitte achten Sie darauf, dass die attributeIDs in Ihrer Shibboleth-IdP-Konfiguration identisch verwendet werden.

  • Zuletzt geändert: vor 8 Wochen