(zurück zur Übersicht)

Service Provider signalisieren den Bedarf bzgl. einer Subject Id, einer Pairwise Id oder eines dieser beiden Attribute über ein entsprechendes Entity Attribut (siehe dort). Die zulässigen Werte dieses Entity Attributs sind: subject-id, pairwise-id, any und none. Im Sinne der Datensparsamkeit sollte bei any die uni-direktionale/targeted, d.h. SP-spezifische Pairwise Id übertragen werden.

Zur Generierung der Attribute im Attribute Resolver siehe diese Beispiele.

Die DFN-AAI Test-SPs wären hier durch die jeweils tatsächlich benötigen SPs zu ersetzen. Anstatt anhand der Entity IDs bestimmter SPs (Requester) kann hier natürlich auch die Attributfreigabe anhand einer Entity Category erfolgen:

<Rule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="..."/>
./conf/attribute-filter.xml
    <AttributeFilterPolicy id="releaseSubjectId">
 
        <PolicyRequirementRule xsi:type="AND"> 
             <Rule xsi:type="EntityAttributeExactMatch"
               attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
               attributeValue="subject-id" />
             <Rule xsi:type="OR">
                <Rule xsi:type="Requester" value="https://testsp.aai.dfn.de/shibboleth" />
                <Rule xsi:type="Requester" value="https://testsp2.aai.dfn.de/shibboleth" />
                <Rule xsi:type="Requester" value="https://testsp3.aai.dfn.de/shibboleth" />
             </Rule>
        </PolicyRequirementRule>
 
        <AttributeRule attributeID="samlSubjectID" permitAny="true"/>
    </AttributeFilterPolicy>  
 
    <AttributeFilterPolicy id="releasePairwiseId">
 
        <PolicyRequirementRule xsi:type="AND"> 
             <Rule xsi:type="OR">
                <Rule xsi:type="EntityAttributeExactMatch"
                      attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
                      attributeValue="pairwise-id" />
                <Rule xsi:type="EntityAttributeExactMatch"
                      attributeName="urn:oasis:names:tc:SAML:profiles:subject-id:req"
                      attributeValue="any" />
             </Rule>
             <Rule xsi:type="OR">
                <Rule xsi:type="Requester" value="https://testsp.aai.dfn.de/shibboleth" />
                <Rule xsi:type="Requester" value="https://testsp2.aai.dfn.de/shibboleth" />
                <Rule xsi:type="Requester" value="https://testsp3.aai.dfn.de/shibboleth" />
             </Rule>
        </PolicyRequirementRule>
 
        <AttributeRule attributeID="samlPairwiseID" permitAny="true"/>
    </AttributeFilterPolicy>
  • Zuletzt geändert: vor 2 Jahren