Page History
...
Zum Zugriff muß das eduPersonEntitlement-Attribut einen der beiden folgenden Werte haben (egal welchen, diese sind mittlerweile equivalent):
...
Etwaige früher verwendete "-admin" Entitlement-Werte sind obsolet und können ggfs. lokal entfernt werden: Die Berechtigung für AdministratorInnen erfolgt direkt (und nur) im DigiCert-System.
N.B.: Diese Entitlements dürfen dürfen ggfs. nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, wie im TERENA Personal CA Certificate Practice Statement, Abschnitt 3.2.3, beschrieben. (
TODO: Neue Version des CPS!)
...
In derselben Datei wird auch die von obiger Attributdefinition referenzierte Abhängigkeit ("staticAttributes" genannt) definiert. Nachdem im einfachsten Fall alle Identitäten eines IDPs zur selben "home organization" (Institution) gehören, kann für alle derselbe Wert generiert werden. Im Beispiel unten geschieht das unter Nutzung der property idp.scope, welche in conf/idp.properties definiert wird. Anderenfalls kann dort stattdessen natürlich eine andre statische Zeichnkette Zeichenkette eingetragen werden (z.B. example.ac.at):
...
Attribute weitergeben
Die Weitergabe oben (und a.a.O.) definierter Attribute wird in /opt/shibboleth-idp/conf/attribute-filter.xml eingerichtet.| Tip |
|---|
Wer bereits den diesbezüglichen Empfehlungen aus diesem Wiki folgt und die Freigaberegel "ACOnet-registered services" übernommen hat, muß hier für TCS nichts weiter tun. |
Anderenfalls kann zu der bestehenden Konfiguration etwa folgendes eingetragen werden:
...
Overview
Content Tools
Tasks