Dies ist eine alte Version des Dokuments!
Attribute Erzeugung und Weitergabe in der DFN-AAI
Nachdem Ihr IdP im Produktiven Teil der DFN-AAI angekommen ist, müssen Sie für die SPs auf die Ihre User zugreifen sollen die entsprechenden Attribut-Freigaben konfigurieren. Auf den folgenden Sub-Seiten finden Sie einige Beispiele zu den üblichsten Konfigurationen in der DFN-AAI. Idealerweise sollte jeder SP-Betreiber die von seinem SP gebrauchten Attribute gut auffindbar online dokumentieren. Dies ist oft leider nicht der Fall, wir versuchen dieses Manko hier so weit wie möglich auszugleichen. Sollten Sie weitere Beispiele finden oder selber erarbeiten, freuen wir uns über eine Rückmeldung und publizieren dies auch auf Wunsch gerne in diesem Wiki damit andere davon profitieren können.
Generell gilt
- bei den meisten SPs müssen Sie den SP-Betreiber erst kontaktieren bevor Ihre User Zugriff bekommen. Eine Attributfreigabe alleine reicht meist nicht aus, der Betreiber muss oft auch die entityID des IdPs bei sich auf eine Autorisierungsliste setzen.
- Informationen zu den SPs in der DFN-AAI finden Sie unter https://www.aai.dfn.de/verzeichnis/
- testen Sie die Attribut-Freigabe immer zuerst auch nochmal gegen die Test-SPs in der DFN-AAI-Test. Das machen Sie entweder
- auf einem identisch konfigurierten permanenten Development-System (sehr zu empfehlen!)
- oder auch mit Ihrem Produktiv-IdP den Sie dazu in der DFN-AAI-Metadatenverwaltung einfach in der Testumgebung belassen. Der IdP kann problemlos gleichzeitig in der Testumgebung und der Produktivumgebung aktiv sein.
- in idp-audit.log vermerkt der IdP pro SP welche Attribute übertragen wurden
Änderung in attribute-resolver.xml gegenüber IdP 2.x
- Name IDs werden hier nicht mehr konfiguriert
- Parameter für die DataConnectors werden aus properties-Files gelesen
- Scope wird aus properties-Files gelesen
- Scripted AttributeDefinition - alles neu, unterschiedliche Scripting Engines für Java 7 und Java 8, siehe Dokumentation im Shibboleth Wiki und Running the Rhino engine under Java 1.8
Änderung in attribute-filter.xml gegenüber IdP 2.x
- Syntax vereinfacht (u.a. nur noch ein Namespace)
- Filtern von NameIDs (transientID und persistentID) enfällt.
Zum grundlegenden Verständnis des Zusammenspiels von Attributgenerierung, Weitergabe und Verarbeitung siehe die Präsentation vom 13. DFN-AAI-Workshop.
Siehe auch Dokumentation im Shibboleth Wiki