Versions Compared

Old Version 8

changes.mady.by.user Peter Brand

Saved on

compared with

New Version 9

changes.mady.by.user Peter Brand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: update filter to IDPv 3.2.0+

...

Info
iconfalse

Statt uid kann hier also jedes existierende Attribut eingesetzt werden, das bereits eine Form der Matrikelnummer enthält, etwa die Emailadresse (mail) oder der eduPersonPrincipalName.

Eine passende Regel, dieses Attribut (bzw. nur syntaktisch korrekte Werte davon) nur an einen bestimmten aufgezählte Service Provider weiterzugeben, und nur, wenn das Attribut eduPersonAffiliation den Wert student hat (also nur für Studierende), könnte beim Shibboleth IDP so aussehen:. (Das Beispiel verwendet die etwas entschlackte Syntax ab IDPv3.2.)

Code Block
languagehtml/xml
<afp:AttributeFilterPolicy<AttributeFilterPolicy id="TestSPMatrikelMatrikelnummer">
    <afp:PolicyRequirementRule<PolicyRequirementRule xsi:type="basic:AND">
        <basic:Rule<Rule xsi:type="OR">
            <Rule xsi:type="basic:AttributeRequesterStringRequester" value="https://test-sp.aco.net/shibboleth" />
             <basic:Rule<Rule xsi:type="Requester" value="https://idp.zid.tuwien.ac.at/studentsoftware" />
        </PolicyRequirementRule>
        <Rule xsi:type="basic:AttributeValueStringValue" attributeID="eduPersonAffiliation" value="student" />
    </afp:PolicyRequirementRule>
    <afp:AttributeRule<AttributeRule attributeID="matrikel">
        <afp:PermitValueRule<PermitValueRule xsi:type="basic:AttributeValueRegexValueRegex" regex="^urn:schac:personalUniqueCode:int:studentID:AT:[0-9]{7}$" />
    </afp:AttributeRule>
</afp:AttributeFilterPolicy>AttributeFilterPolicy>

 

https://idp.zid.tuwien.ac.at/studentsoftware