Seitenhistorie
...
Alle anderen Affiliation- oder Entitlement-Werte (oder Kombinationen derselben) sind nicht zugriffsberechtigt. (Fehler in dieser Dokumentation vorbhalten.)
Beispiel attribute-filter.xml für die Shibboleth IDP Software
Sofern die entsprechenden Daten (über Konfiguration in /opt/shibboleth-idp/conf/attribute-resolver.xml) bereits prinzipiell im IDP verfügbar sind, können sie im attribute-filter.xml nach Bedarf freigegebenen werden.
Unter der benötigten eduPersonScopedAffiliation ist im untenstehenden Beispiel noch eine eindeutige Kennung zu konfigurieren, etwa durch Auskommentieren der gewünschten AttributeRule: Bei Verfügbarkeit empfiehlt sich eine persistentId bzw. eduPersonTargetedID (siehe unsere Shibboleth IDP Anleitung), anderenfalls evtl. ein eduPersonPrincipalName-Attribut. Ist beides im eigenen IDP nicht vorhanden – was nicht gut wäre, da möglichst alle eduID.at IDPs diese liefern können sollten – könnte für Studierende auf die Matrikelnummer als speziell konstruiertes SAML-Attribut zurückgegriffen werden, wobei dann evtl zusätzlich noch ein anderes Attribut für MitarbeiterInnen freigegegben werden müsste (die evtl ihrem Mitarbeiterkonto keine Matrikelnummer zugeordnet haben werden). Ist das alles nicht vorhanden, kann evtl die E-Mail-Adresse als Kennung "missbraucht" werden, die in allen IDPs vorhanden sein sollte.
Das ganz unten erwähnte eduPersonEntitlement sollte nur von Institutionen verwendet werden, die mit Manz entsprechende Ausnameregeln vereinbart haben.
| Codeblock | ||
|---|---|---|
| ||
<afp:AttributeFilterPolicy id="RDB-Manz">
<afp:PolicyRequirementRule xsi:type="basic:OR">
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://cas.manz.at/shibboleth" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://tst-cas.manz.at/shibboleth" />
</afp:PolicyRequirementRule>
<!-- nur jene affiliation-werte weitergeben, die autorisierte personengruppen indentizieren -->
<afp:AttributeRule attributeID="eduPersonScopedAffiliation">
<afp:PermitValueRule xsi:type="basic:OR">
<basic:Rule xsi:type="basic:AttributeValueString" value="faculty" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="student" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="staff" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="employee" ignoreCase="true" />
</afp:PermitValueRule>
</afp:AttributeRule>
<!-- eindeutige kennung freigeben, nach lokaler praeferenz/verfuegbarkeit -->
<!--
<afp:AttributeRule attributeID="persistentId">
<afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="eduPersonTargetedID">
<afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="eduPersonPrincipalName">
<afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="matrikel">
<afp:PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:schac:personalUniqueCode:int:studentID:AT:[0-9]{7}$" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="email">
<afp:PermitValueRule xsi:type="saml:AttributeInMetadata" onlyIfRequired="false" />
</afp:AttributeRule>
-->
<!-- NUR fuer institutionen mit zusatzvereinbarungen mit Manz bezueglich studentischen RDB-fernzugriffen (z.B. Linzer Rechtsstudien) -->
<!--
<afp:AttributeRule attributeID="eduPersonEntitlement">
<afp:PermitValueRule xsi:type="basic:AttributeValueString" value="https://rdb.manz.at/student/remote-access" />
</afp:AttributeRule>
-->
</afp:AttributeFilterPolicy> |
Überblick
Inhalte
Aufgabenbericht