Versions Compared

Old Version 5

changes.mady.by.user Peter Brand

Saved on

compared with

New Version 6

changes.mady.by.user Peter Brand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: minimal changes for new TCS supplier DigiCert

Hinweise und Konfigurationsdetails eines Shibboleth 2.x IDPs für das TERENA/GÉANT/ACOnet TCS Personal Certificates Portal.

...

Der global eindeutige Name des Services lautet:
 https://tcs-personalwww.acodigicert.net/simplesamlphp/module.php/saml/sp/metadata.php/default-spcom/sso

Attribute

Siehe http://confusa.assembla.com/wiki/show/confusa/Required_attribute_description
Erwähnt werden im Folgenden nur Abweichungen zur Shibboleth IDP-Standardkonfiguration, die bereits Attributdefinitionen zu maileppn, usw. enthält.

...

Info
iconfalse

Wenn also die Weitergabe bzw. Übernahme einer UserID von einer Person zu einer anderen (auch nach Jahren der "Stilllegung") an einer Institution nicht ausgeschlossen ist, sollte dort die UserID nicht zur Erzeugung des eduPersonPrincicalName-Attributs genutzt werden. Übermittelt muß dennoch der eduPersonPrincicalName des Attribut eduPersonPrincicalName werden, aber dieser muß dann (zumindest für dieses Service) vom IDP aus anderen Daten gespeist werden.

Offensichlich ist es keine gute Idee, die Semantik von standardisierten und weltweit eingesetzten Attributen (wie denen des eduPerson-Standards) für eigene Zwecke neu festzulegen, wie das hier beim TCS Personal Portal geschieht.

eduPersonEntitlement

...

Diese Entitlements dürfen nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, wie im TERENA Personal CA Certificate Practice Statement, Abschnitt 3.2.3, beschrieben. ((warning) TODO: Neues CPS!)

schacHomeOrganization

Nachschlagen

...

Code Block
languagehtml/xml
<afp:AttributeFilterPolicy id="TCSportal">
  <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://tcs-personalwww.acodigicert.net/simplesamlphp/module.php/saml/sp/metadata.php/default-spcom/sso" />
  <afp:AttributeRule attributeID="eduPersonPrincipalName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="eduPersonEntitlement">
    <afp:PermitValueRule xsi:type="basic:OR">
      <basic:Rule xsi:type="basic:AttributeValueString" value="urn:mace:terena.org:tcs:personal-user" />
      <basic:Rule xsi:type="basic:AttributeValueString" value="urn:mace:terena.org:tcs:personal-admin" />
    </afp:PermitValueRule>
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="schacHomeOrg">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="displayName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="email">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
</afp:AttributeFilterPolicy>