Dies ist eine alte Version des Dokuments!

Anbindung an Kivuto/OnTheHub (ex-MS-Dreamspark)

Um Ihren Usern Zugang zum Kivuto/OnTheHub (ex-MS-Dreamspark)-Angebot geben zu können sind folgende technische Konfigurationen nötig (vermutlich müssen Sie sich dort auch noch als Einrichtung registrieren. Was dabei genau gemacht werden muss ist nicht Teil dieser Anleitung):

  • aktivieren Sie die Erzeugung der persistentId mithilfe einer Mysql-DB im Hintergrund, und geben Sie diese an alle SPs frei, siehe https://wiki.aai.dfn.de/de:shibidp3storage
  • Testen Sie das gegen unseren Test-SP https://testsp2.aai.dfn.de in der Testumgebung
  • Kivuto verlangt ausserdem noch das Attribut „isMemberOf“ mit dem Sie pro User angeben ob dieser in die Kategorie „standard“ oder „premium“ fällt. Das muss entsprechend im attribute-resolver Userspezifisch generiert werden:
./conf/attribute-resolver.xml
<!-- im Beispiel wird das IdM-Attribut "memberOf" ausgewertet -->
<AttributeDefinition xsi:type="Mapped" id="group-urn">
    <InputDataConnector ref="myLDAP" attributeNames="memberOf"/>
    <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:isMemberOf" />
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" friendlyName="isMemberOf" />
 
    <!-- ist der User in der "premium"-Gruppe, wird als Wert eine entsprechende URN zurückgegeben -->
    <ValueMap>
         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:premium</ReturnValue>
         <SourceValue ignoreCase="true">.*CN=premium,OU=idm,DC=example-uni,DC=de</SourceValue>
    </ValueMap>
 
    <!-- ist der User in der "standard"-Gruppe, kommt dies in die URN -->
    <ValueMap>
         <ReturnValue>urn:geant:dfn.de:example-uni.de:groups:standard</ReturnValue>
         <SourceValue ignoreCase="true">.*CN=standard,OU=idm,DC=example-uni,DC=de</SourceValue>
    </ValueMap>
 
</AttributeDefinition>

Bitte beachten Sie dass Sie einen URN-Bereich erst über die AAI-Hotline für Ihre Einrichtung reservieren müssen, siehe https://www.aai.dfn.de/der-dienst/urn/ !

Eine passende Attribute-filter.xml sieht dann so aus:

./conf/attribute-filter.xml
<AttributeFilterPolicy id="Kivuto">
    <PolicyRequirementRule xsi:type="Requester" value="https://e5.onthehub.com" />
 
    <AttributeRule attributeID="mail" permitAny="true"/>
 
    <AttributeRule attributeID="givenName" permitAny="true"/>
 
    <AttributeRule attributeID="surname" permitAny="true"/>
 
    <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
 
    <AttributeRule attributeID="group-urn">
       <PermitValueRule xsi:type="OR">
          <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:standard" />
          <Rule xsi:type="Value" value="urn:geant:dfn.de:example-uni.de:groups:premium" />
       </PermitValueRule>
    </AttributeRule>
 
</AttributeFilterPolicy>

Siehe auch ftp://ftp.kivuto.com/support/outgoing/ELMS_Shibboleth_User_Verification_Customer_Implementation_Guide_EN.pdf

  • Zuletzt geändert: vor 5 Jahren