Page History
Hinweise und Konfigurationsdetails eines Shibboleth 2.x IDPs für das TERENA/GÉANT/ACOnet TCS Personal Certificates Portal.
...
Der global eindeutige Name des Services lautet:
https://tcs-personalwww.acodigicert.net/simplesamlphp/module.php/saml/sp/metadata.php/default-spcom/sso
Attribute
Siehe http://confusa.assembla.com/wiki/show/confusa/Required_attribute_description
Erwähnt werden im Folgenden nur Abweichungen zur Shibboleth IDP-Standardkonfiguration, die bereits Attributdefinitionen zu mail, eppn, usw. enthält.
...
Info | ||
---|---|---|
| ||
Wenn also die Weitergabe bzw. Übernahme einer UserID von einer Person zu einer anderen (auch nach Jahren der "Stilllegung") an einer Institution nicht ausgeschlossen ist, sollte dort die UserID nicht zur Erzeugung des |
Offensichlich ist es keine gute Idee, die Semantik von standardisierten und weltweit eingesetzten Attributen (wie denen des eduPerson-Standards) für eigene Zwecke neu festzulegen, wie das hier beim TCS Personal Portal geschieht.
eduPersonEntitlement
...
Diese Entitlements dürfen nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, wie im TERENA Personal CA Certificate Practice Statement, Abschnitt 3.2.3, beschrieben. ( TODO: Neues CPS!)
schacHomeOrganization
Nachschlagen
...
Code Block | ||
---|---|---|
| ||
<afp:AttributeFilterPolicy id="TCSportal"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://tcs-personalwww.acodigicert.net/simplesamlphp/module.php/saml/sp/metadata.php/default-spcom/sso" /> <afp:AttributeRule attributeID="eduPersonPrincipalName"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> <afp:AttributeRule attributeID="eduPersonEntitlement"> <afp:PermitValueRule xsi:type="basic:OR"> <basic:Rule xsi:type="basic:AttributeValueString" value="urn:mace:terena.org:tcs:personal-user" /> <basic:Rule xsi:type="basic:AttributeValueString" value="urn:mace:terena.org:tcs:personal-admin" /> </afp:PermitValueRule> </afp:AttributeRule> <afp:AttributeRule attributeID="schacHomeOrg"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> <afp:AttributeRule attributeID="displayName"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> <afp:AttributeRule attributeID="email"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy> |