IdP Auffrischungs-Workshop

Vorbereitung

Für den Workshop benötigen wir die nachfolgend beschriebene Schulungs-VM.

Informationen zur Schulungs-VM

Für den Workshop stellen wir eine Schulungs-VM zur Verfügung. Installieren Sie diese bitte vorab und machen sich mit der VM vertraut. Als Virtualisierungssoftware empfehlen wir VirtualBox in der neuesten Version.

Import des heruntergeladenen .ova-Images in Virtualbox: Datei -> Appliance importieren. Im BIOS muss Hardware-Virtualisierung angeschaltet sein.
Für ein Copy & Paste ohne Gasterweiterungen können Sie diese Installationsanleitung selbstverständlich auch im Browser in der VM abrufen. Dazu finden Sie im Firefox ein Lesezeichen in der Leiste.
Betriebssystem der Schulungs-VM: Debian 12
Die Nutzerkennung lautet "shibboleth". Alle Passwörter lauten ebenfalls "shibboleth".
Auf der VM befindet sich ein LDAP-Browser (phpLDAPadmin), der im Web-Browser (Firefox) als Lesezeichen gesetzt ist. Im Verzeichnis finden Sie sechs Test-Accounts mit verschiedenen Attributen.
Zum besseren Verständnis des lokalen Setups (idp/sp1) hilft ein Blick in /etc/hosts und die Apache-Konfiguration unter /etc/apache2/sites-enabled.
Die wichtigsten vorinstallierten Pakete sind Web-, Datenbank- und LDAP-Server:

Apache 2.4, Java/OpenJDK 21, Tomcat 11
MariaDB 11.8, libmariadb-java
OpenLDAP (slapd 2.6.10, ldap-utils), phpldapadmin 1.2.6.7

Hier starten wir mit dem Workshop

Aufgabe Bestandsaufnahme IdP

Zurück zum Inhaltsverzeichnis

Wesentliche Komponenten der Schulungs-VM:

Shibboleth IdP

Version ??
attribute-resolver.xml
relying-party.xml
default-rules.xml
attribute-filter.xml

Shibboleth-SP

es existieren 2 SPs
Welche Attribute werden jeweils übertragen? (anna/shibboleth)

LDAP-Server
Webbrowser Firefox, mit Bookmarks für

IdP
SP1
SP2
phpLDAPadmin
diese Anleitung

Überblick Attribute-Resolver

Zurück zum Inhaltsverzeichnis

Verschaffen Sie sich einen Überblick über Attribut-Definitionen und DataConnectors.
Welche Attribute-Definitionen und DataConnectors sind vorhanden?

Überblick anzeigen

Attribute-Definitions

Attribute ID	xsi:type	ref
uid	simple	myLDAP
eduPersonAffiliation	simple	myLDAP
eduPersonScopedAffiliation	scoped	myLDAP
eduPersonEntitlement	scriptedAttribute
samlPairwiseID	scoped	StoredId
eduPersonTargetedID	saml2NameID	StoredId

Data Connectors

DataConnector ID	xsi:type	Attribute
staticAttributes	static	schacHomeOrganisation, o
StoredId	StoredID	persistentID
myLDAP	LDAPDirectory	givenName,sn,mail,displayName

Attribute Registry

Welche Schemata und Claims sind bereits definiert?

default-rules.xml

inetorgPerson

eduPerson

eduCourse

schac

samlSubject

dfnEduPerson

dfnMisc

Überblick relying-party

Die Datei relying-party.xml definiert, welche Protokolle/Profiles ein IdP anbietet und erlaubt maßgeschneiderte Einstellungen für verschiedene SPs. Zu unterscheiden sind die drei Beans:

shibboleth.UnverifiedRelyingParty
shibboleth.DefaultRelyingParty
shibboleth.RelyingPartyOverrides

Verschaffen Sie sich einen Überblick über die vorhandenen Inhalte dieser Beans.

Überblick anzeigen

shibboleth.unverifiedRelyingParty

Profile	Aktiv	Post-Auth-Flows	NameID-Format-Priorität	Besonderheiten
SAML2.SSO	nein	-	-	Auskommentiert, deaktiviert

shibboleth.defaultRelyingParty

Profile	Aktiv	Post-Auth-Flows	NameID-Format-Priorität	Besonderheiten
SAML2.SSO	ja	attribute-release	persistent,transient	Hauptprofile mit Attributfreigabe
SAML2.ECP	ja	-	-	Enhanced Client/Proxy für Web-Services
SAML2.Logout	ja	-	-	Single Logout
SAML2.Attribute.Query	nein	-	-	Auskommentiert, deaktiviert
SAML2.ArtifactResolution	ja	-	-	Artifact-Auflösung aktiv

Überblick Attribute-Filter

Welche Filter-Regeln sind vorhanden?

Überblick anzeigen

Policy-ID	PolicyRequirementRule	RP/Scope	Betroffene Attribute	Auswirkung
alwaysRelease	ANY	Alle SPs	schacHomeOrganzation	Vollständige Freigabe von schacHomeOrganization (permitAny=“true”)
SPs_locals	Requester=“https://sp1.local/shibboleth”	Lokaler SP1	eduPersonScopeAffiliation sn givenName mail uid eduPersonTargetedId	Vollständige Freigabe von 7 Attributen an sp1.local

Loglevel

FÜr die Dauer dieses Workshops wird das Loglevel erhöht:

<!-- Datei: /opt/shibboleth-idp/conf/logback.xml -->
  <variable name="idp.loglevel.idp" value="DEBUG" />
  <variable name="idp.loglevel.ldap" value="WARN" />
  <variable name="idp.loglevel.messages" value="DEBUG" />
  <variable name="idp.loglevel.encryption" value="DEBUG" />
  <variable name="idp.loglevel.opensaml" value="INFO" />
  <variable name="idp.loglevel.props" value="INFO" />
  <variable name="idp.loglevel.httpclient" value="INFO" />

Stoßen Sie das Neuladen des Servlets manuell an:

touch /opt/shibboleth-idp/war/idp.war

Attribut-Übertragung

Welche Attribute werden bei einem Login auf SP1 und SP2 übertragen. Verlassen Sie sich nicht ausschließlich auf die Anzeige im Browser beim User-Consent. Prüfen Sie im Log-File die Assertion.
Dazu suchen Sie in der Log-Datei /opt/shibboleth-idp/logs/idp-process.log nach Assertion before encryption.
Hier finden Sie die vom IdP an den SP übertragenen Attribute, sowie die NameID im Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient.

Assertion SP1

<!-- Datei: /opt/shibboleth-idp/logs/idp-process.log -->
    <?xml version="1.0" encoding="UTF-8"?><saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_c7ccec23382116735f43f2b7e6abc982" IssueInstant="2026-01-22T10:17:57.778Z" Version="2.0">
    <saml2:Issuer>https://idp.local/idp/shibboleth</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp.local/idp/shibboleth" SPNameQualifier="https://sp1.local/shibboleth"xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">LSPX4Z4UJWIXKWFONRF5YUY75YTQ5TL2
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
          <saml2:SubjectConfirmationData Address="127.0.0.1" InResponseTo="_e7012caa5fda31c05824f4a2845ad070" NotOnOrAfter="2026-01-22T10:22:57.800Z" Recipient="https://sp1.local/Shibboleth.sso/SAML2/POST"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2026-01-22T10:17:57.778Z" NotOnOrAfter="2026-01-22T10:22:57.778Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>https://sp1.local/shibboleth</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2026-01-22T10:17:51.863Z" SessionIndex="_8f9a906bafe493d92cc8707909dc95eb">
        <saml2:SubjectLocality Address="127.0.0.1"/>
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
    <saml2:AttributeStatement>
        <saml2:Attribute FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>local</saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute FriendlyName="eduPersonScopedAffiliation" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>student@local</saml2:AttributeValue>
            <saml2:AttributeValue>member@local</saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>Anna</saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute FriendlyName="uid" Name="urn:oid:0.9.2342.19200300.100.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>anna</saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>anna.schmidt@uni.de</saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute FriendlyName="eduPersonTargetedID" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>
                <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp.local/idp/shibboleth" SPNameQualifier="https://sp1.local/shibboleth">LSPX4Z4UJWIXKWFONRF5YUY75YTQ5TL2</saml2:NameID>
            </saml2:AttributeValue>
        </saml2:Attribute>
        <saml2:Attribute FriendlyName="sn" Name="urn:oid:2.5.4.4" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>Schmidt</saml2:AttributeValue>
        </saml2:Attribute>
    </saml2:AttributeStatement>
</saml2:Assertion>

Assertion SP2

<!-- Datei: /opt/shibboleth-idp/logs/idp-process.log -->
      <?xml version="1.0" encoding="UTF-8"?><saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_2e601cd9c678ea0aa6d2de6a0151fd0c" IssueInstant="2026-01-22T10:18:22.533Z" Version="2.0">
    <saml2:Issuer>https://idp.local/idp/shibboleth</saml2:Issuer>
    <saml2:Subject>
        <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp.local/idp/shibboleth" SPNameQualifier="https://sp2.local/shibboleth" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">QI3P4IOWTZDFLPPISAFD7TYAJLXA5GRX</saml2:NameID>
        <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
            <saml2:SubjectConfirmationData Address="127.0.0.1" InResponseTo="_9adf8c3893cb82c8758a2e5200b3e8fa" NotOnOrAfter="2026-01-22T10:23:22.551Z" Recipient="https://sp2.local/Shibboleth.sso/SAML2/POST"/>
        </saml2:SubjectConfirmation>
    </saml2:Subject>
    <saml2:Conditions NotBefore="2026-01-22T10:18:22.533Z" NotOnOrAfter="2026-01-22T10:23:22.533Z">
        <saml2:AudienceRestriction>
            <saml2:Audience>https://sp2.local/shibboleth</saml2:Audience>
        </saml2:AudienceRestriction>
    </saml2:Conditions>
    <saml2:AuthnStatement AuthnInstant="2026-01-22T10:18:18.582Z" SessionIndex="_6f0771619be64724cbd984657f7289ea">
        <saml2:SubjectLocality Address="127.0.0.1"/>
        <saml2:AuthnContext>
            <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
        </saml2:AuthnContext>
    </saml2:AuthnStatement>
    <saml2:AttributeStatement>
        <saml2:Attribute FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml2:AttributeValue>local</saml2:AttributeValue>
        </saml2:Attribute>
    </saml2:AttributeStatement>
</saml2:Assertion>

Aufwärmübung

Zurück zum Inhaltsverzeichnis

Aufgabe

Definieren Sie eine zusätzliche Filterregel:
Das Attribut eduPersonEntitlement wird immer übergeben, sofern es den Wert urn:mace:dir:entitlement:common-lib-terms (Bibliotheksnutzung) hat.

Template AttributeFilterPolicy:

<!-- Template AttributeFilterPolicy -->
    <AttributeFilterPolicy id="example1">
      <PolicyRequirementRule xsi:type="Requester" value="https://sp.example.org"/>
      <AttributeRule attributeID="mail">
        <PermitValueRule xsi:type="ANY"/>
      </AttributeRule>

Im Template kommen die Rule Types Requester und ANY zum Einsatz.
Weitere Rule Types werden hier erläutert: weitere Rule Types

Zur Lösungsfindung helfen Ihnen folgende Fragen:

PolicyRequirementRule

Wann ist die Regel wahr?

Antwort: immer (Finden Sie den passenden Rule Type)

AttributeRule

PermitValueRule oder DenyValueRule

Welches Attribut soll berücksichtigt werden?

Antwort: Attribut mit der ID eduPersonEntitlement

Welche Werte dürfen weiter gegeben werden?

Antwort: nur der Wert urn:mace:dir:entitlement:common-lib-terms

Lösung

<!-- Bibliotheksnutzung -->
    <AttributeFilterPolicy id="lib-entitlement-policy">
      <PolicyRequirementRule xsi:type="ANY"/>
          <AttributeRule attributeID="eduPersonEntitlement">
            <PermitValueRule xsi:type="Value" value="urn:mace:dir:entitlement:common-lib-terms"/>
          </AttributeRule>
    </AttributeFilterPolicy>

Überprüfen Sie die Filterregel, indem Sie einen Login auf SP1 und SP2 durchführen.

Übung 1 - eduPersonAffiliation

Zurück zum Inhaltsverzeichnis

Aufgabe

Zur Autorisierung soll das Attribut eduPersonAffiliation bereit gestellt werden

für die Erzeugung von eduPersonAffiliation soll das Attribut ou verwendet werden

Herangehensweise Attribute-Definition

Nehmen Sie an, das Attribut eduPersonAffiliation wird nicht vom LDAP geliefert.

Schritt 1 - vorhandene Attribute-Definition für eduPersonAffiliation auskommentieren/entfernen

Dafür kommentieren Sie als erstes die Attribute-Definition in der Datei attribute-resolver.xml aus:

<!--/opt/shibboleth-idp/conf/attribute-resolver.xml -->
  <AttributeDefinition xsi:type="Simple" id="eduPersonAffiliation">
    <InputDataConnector ref="myLDAP" attributeNames="eduPersonAffiliation" />
  </AttributeDefinition>

Schritt 2 - Attribute-Definition für ou anlegen

Das Attribut eduPersonAffiliation soll mit Werten aus dem Attribut ou erzeugt/gemappt werden.
Das Attribut ou ist zwar im LDAP vorhanden, wird aber in der attribute-resolver.xml noch nicht definiert.
Damit Sie ou verwenden können, müssen Sie es definieren.
Orientieren Sie sich bei der Attribute-Definition an der auskommentierten Definition von eduPersonAffiliation

Schritt 3 - Mapping ou zu eduPersonAffiliation

Informieren Sie sich im DFN-Wiki über das Attribut eduPersonAffiliation und die in Frage kommenden Werte dieses Attributs.

Sie werden feststellen, dass diese Werte nicht aus dem LDAP kommen.
Finden Sie ein geeignetes Mapping von ou auf eduPersonAffiliation

Nachfolgend finden Sie die Tabelle mit dem Mapping.

Tabelle Zuordnung ou-->eduPersonAffiliation

Gruppe	ou	eduPersonAffiliation
Mitarbeitende	ou=Mitarbeitende	staff
Studierende	ou=Studierende	student
Lehrende	ou=Lehrende	faculty
Gaeste	ou=Gaeste	affiliate
Externe	ou=Externe

Schritt 4 - Attribute-Definition für eduPersonAffiliation vom Type mapped

Template:

<!--/opt/shibboleth-idp/conf/attribute-resolver.xml -->
  <AttributeDefinition xsi:type="Mapped" id="mappedAttribute">
    <InputAttributeDefinition ref="myLDAP" attributeNames="sourceAttr"/>
    <ValueMap>
      <ReturnValue>mappedValue1</ReturnValue>
      <SourceValue>sourceValue1</SourceValue>
    <ValueMap/>
    <DefaultValue passThru="true"/>
  </AttributeDefinition>

Lösung Attribute-Definition

Attribute-Definition

<!-- Datei: /opt/shibboleth-idp/conf/attribute-resolver.xml -->
    <AttributeDefinition xsi:type="Simple" id="ou">
      <InputDataConnector ref="ou"/>
    </AttributeDefinition>
    <!-- eduPersonAffiliation als Mapping auf ou -->
<AttributeDefinition xsi:type="Mapped" id="eduPersonAffiliation">
  <InputAttributeDefinition ref="ou"/>
    <ValueMap>
      <ReturnValue>student</ReturnValue>
      <SourceValue>Studierende</SourceValue>
    </ValueMap>
    <ValueMap>
      <ReturnValue>staff</ReturnValue>
      <SourceValue>Mitarbeitende</SourceValue>
    </ValueMap>
    <ValueMap>
      <ReturnValue>faculty</ReturnValue>
      <SourceValue>Lehrende</SourceValue>
    </ValueMap>
    <ValueMap>
      <ReturnValue>affiliate</ReturnValue>
      <SourceValue>Gaeste</SourceValue>
    </ValueMap>
    <ValueMap>
      <ReturnValue>member</ReturnValue>
      <SourceValue>Studierende</SourceValue>
      <SourceValue>Mitarbeitende</SourceValue>
      <SourceValue>Lehrende</SourceValue>
    </ValueMap>
</AttributeDefinition>

Übung 2 - Required Attributes

Zurück zum Inhaltsverzeichnis

SP-Verantwortliche deklarieren benötigte Attribute in den Metadaten. Der IdP kann diese Angaben auswerten und bei der Attributfreigabe berücksichtigen.

Aufgabe - Attributregel für Required Attributes

Erweitern Sie die Regeln für die lokalen SPs. Attribute sollen nur übermittelt werden, wenn in den Metadaten die Option isRequired="true gesetzt ist.
Doku zur AttributeFilterPolicyConfiguration im shib-Wiki (Reference --> XML Attributes)

Herangehensweise

Folgende bestehende Regel soll geändert werden:

<!--/opt/shibboleth-idp/conf/attribute-filter.xml -->
  <!-- Release an additional attribute to an SP -->
  <AttributeFilterPolicy id="SPs_locals">
    <PolicyRequirementRule xsi:type="Requester" value="https://sp1.local/shibboleth"/>
        <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
        <AttributeRule attributeID="sn"                         permitAny="true"/>
        <AttributeRule attributeID="givenName"                  permitAny="true"/>
        <AttributeRule attributeID="mail"                       permitAny="true"/>
        <AttributeRule attributeID="uid"                        permitAny="true"/>
        <AttributeRule attributeID="eduPersonEntitlement"       permitAny="true"/>
        <AttributeRule attributeID="eduPersonTargeted"          permitAny="true"/>
  </AttributeFilterPolicy>

Zur Lösungsfindung helfen Ihnen folgende Fragen:

Jede einzelne AttributeRule muss erweitert werden
- Alt: Für das Attribute mit der ID xxx übergib alle Werte
- Neu: Ergänze um das Child-Element PermitValueRule
  - sinngemäß lautet die PermitValueRule: Erlaube die Übergabe aller Attribute, die in den Metadaten als erforderlich gekennzeichnet sind.
  - Finde den passenden RuleType

Lösung Attributregel für Required Attributes

Attribute-Filter

<!--/opt/shibboleth-idp/conf/attribute-filter.xml -->
      <!-- Release an additional attribute to an SP -->  
      <AttributeFilterPolicy id="SPs_locals">
        <PolicyRequirementRule xsi:type="Requester" value="https://sp1.local/shibboleth" />
          <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="sn" permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="givenName" permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="mail"                       permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="uid"                        permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="eduPersonEntitlement"       permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="eduPersonTargetedID"          permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
        </AttributeFilterPolicy>

Überprüfen Sie das Funktionieren des Attribute-Filters durch Anmelden an SP1 und SP2 und finden Sie im Logfile idp-process.log den entsprechenden Abschnitt.
Werfen Sie spätestens jetzt einen Blick in die Metadaten und finden Sie heraus, welche Attribute als required angegeben sind.

Ausszug Log-File

DEBUG [net.shibboleth.idp.attribute.filter.AttributeFilterPolicy:121] - Attribute Filter Policy 'SPs_locals'  Policy is active for this request
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeFilterPolicy:147] - Attribute Filter Policy 'SPs_locals'  Applying attribute filter policy to current set
 of attributes: [samlPairwiseID, eduPersonTargetedID, uid, schacHomeOrganization, eduPersonAffiliation, displayName, mail, givenName, sn, eduPersonScopedAffiliation, ou, eduPersonEntitlement]
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:149] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_2ff8039f7e80cb06831fd6f1e22f0057'  Filtering values for attribute 'eduPersonScopedAffiliation' which currently contains 2 values
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:158] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_2ff8039f7e80cb06831fd6f1e22f0057'  Filter has permitted the release of 0 values for attribute 'eduPersonScopedAffiliation'
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:149] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_5ddfcfda315c39b57fb5c0ac7ad2e305'  Filtering values for attribute 'sn' which currently contains 1 values
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:158] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_5ddfcfda315c39b57fb5c0ac7ad2e305'  Filter has permitted the release of 0 values for attribute 'sn'
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:149] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_b12f98cfafad8042bb7bec5f48db391e'  Filtering values for attribute 'givenName' which currently contains 1 values
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:158] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_b12f98cfafad8042bb7bec5f48db391e'  Filter has permitted the release of 0 values for attribute 'givenName'
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:149] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_fbab53fc0d7b3ae8f5cb363bfa95b163'  Filtering values for attribute 'mail' which currently contains 1 values
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.matcher.saml.impl.AttributeInMetadataMatcher:251] - Attribute Filter '/AttributeFilterPolicyGroup:ShibbolethFilter
Policy/PermitValueRule:_c1d683e60e9688f9615a2363ce4495ee': Decoded attribute mail found in metadata, but not required, values not matched
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:158] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_fbab53fc0d7b3ae8f5cb363bfa95b163'  Filter has permitted the release of 0 values for attribute 'mail'
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:149] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_296bbf7260984e737d4de241431ca9d8'  Filtering values for attribute 'uid' which currently contains 1 values
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:158] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_296bbf7260984e737d4de241431ca9d8'  Filter has permitted the release of 0 values for attribute 'uid'
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:149] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_bc136f4b41b15ca2b0f3ac8aab50408c'  Filtering values for attribute 'eduPersonEntitlement' which currently contains 3 values
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:158] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_bc136f4b41b15ca2b0f3ac8aab50408c'  Filter has permitted the release of 0 values for attribute 'eduPersonEntitlement'
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:149] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_f2f91f8b94cf5d064727790386ac67a4'  Filtering values for attribute 'eduPersonTargetedID' which currently contains 1 values
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.matcher.saml.impl.AttributeInMetadataMatcher:345] - Attribute Filter '/AttributeFilterPolicyGroup:ShibbolethFilter
Policy/PermitValueRule:_133becbc1f27481810569b769210a3c4': Attribute eduPersonTargetedID found in metadata and no values specified
127.0.0.1 - DEBUG [net.shibboleth.idp.attribute.filter.AttributeRule:158] - Attribute filtering engine '/AttributeFilterPolicyGroup:ShibbolethFilterPolicy/AttributeRule:
_f2f91f8b94cf5d064727790386ac67a4'  Filter has permitted the release of 1 values for attribute 'eduPersonTargetedID'

REFEDS Assurance Framework

Zurück zum Inhaltsverzeichnis

Ausführliche Informationen zum REFEDS Assurance Framework finden Sie im DFN_Wiki

Übung 3 - eduPersonAssurance

Zurück zum Inhaltsverzeichnis

Definieren Sie das Attribut eduPersonAssurance nach folgenden Kriterien und legen Sie eine Filter-Regel an

Aufgabe eduPersonAssurance

Signalisieren Sie die grundsätzliche Konformität mit dem REFEDS Assurance Framework und mit Version 2 des REFEDS Assurance Frameworks
Die Prozesse zur Aktualisierung der Nutzendendaten und zur Deprovisionierung sind einheitlich für alle Nutzenden & die Aktualisierung erfolgt innerhalb eines Monats
Die Anforderungen bezüglich Identifier Uniqueness (UN-0 bis UN-3) werden erfüllt
eduPersonAssurance enthält keine personenbezogenen Daten und soll deshalb an alle SP übertragen werden

Herangehensweise attribute-resolver.xml

Erweitern des statischen <DataConnector>
Das Attribut eduPersonAssurance wird ist multi-valued mit folgenden Werten:

https://refeds.org/assurance
https://refeds.org/assurance/version/2
https://refeds.org/assurance/ATP/ePA-1m
https://refeds.org/assurance/ID/unique

<AttributeDefinition> referenziert auf <DataConnector>

Folgender <DataConnector> soll erweitert werden:

<!--/opt/shibboleth-idp/conf/attribute-resolver.xml -->
  <DataConnector id="staticAttributes" xsi:type="Static" exportAttributes="schacHomeOrganization">
    <Attribute id="schacHomeOrganization">
      <Value>%{idp.scope}</Value>
    </Attribute>
    <Attribute id="o">
      <Value>idp.local</Value>
    </Attribute>
  </DataConnector>

Außerdem benötigen Sie eine Attribut-Definition für das Attribut eduPersonAssurance nach dem Template:

<!--/opt/shibboleth-idp/conf/attribute-resolver.xml -->
  <AttributeDefinition xsi:type="Simple" id="[ATTRIBUTE-ID]">
    <InputDataConnector ref="[DATACONNECTOR-ID]" attributeNames="[SOURCE-ATTRIBUTE-NAME]" />
  </AttributeDefinition>

Lösung attribute-resolver.xml

Attribute-Resolver

<!--/opt/shibboleth-idp/conf/attribute-resolver.xml -->
  <!--eduPersonAssurance als statisches Attribut -->
<AttributeDefinition xsi:type="Simple" id="eduPersonAssurance">
  <InputDataConnector ref="staticAttributes" attributeNames="eduPersonAssurance" />
</AttributeDefinition>

<DataConnector id="staticAttributes" xsi:type="Static" exportAttributes="schacHomeOrganization">
  <Attribute id="schacHomeOrganization">
    <Value>%{idp.scope}</Value>
  </Attribute>
  <Attribute id="o">
    <Value>idp.local</Value>
  </Attribute>
  <Attribute id="eduPersonAssurance">
    <Value>https://refeds.org/assurance</Value>
    <Value>https://refeds.org/assurance/version/2</Value>
    <Value>https://refeds.org/assurance/ATP/ePA-1m</Value>
    <Value>https://refeds.org/assurance/ID/unique</Value>
  </Attribute>
</DataConnector>

Herangehensweise attribute-filter.xml

eduPersonAssurance enthält keine personenbezogenen Daten und soll deshalb an alle SP übertragen werden.
Template AttributeFilterPolicy:

<!-- Template AttributeFilterPolicy -->
    <AttributeFilterPolicy id="example1">
      <PolicyRequirementRule xsi:type="Requester" value="https://sp.example.org"/>
      <AttributeRule attributeID="mail">
        <PermitValueRule xsi:type="ANY"/>
      </AttributeRule>

Im Template kommen die Rule Types Requester und ANY zum Einsatz.
Weitere Rule Types werden hier erläutert: weitere Rule Types

Zur Lösungsfindung helfen Ihnen folgende Fragen:

PolicyRequirementRule

Wann ist die Regel wahr?

Antwort: immer (Finden Sie den passenden Rule Type)

AttributeRule

PermitValueRule oder DenyValueRule

Welches Attribut soll berücksichtigt werden?

Antwort: Attribut mit der ID eduPersonAssurance

Welche Werte dürfen weiter gegeben werden?

Antwort: alle

Lösung attribute-filter.xml

Attribute-Filter

<!--/opt/shibboleth-idp/conf/attribute-filter.xml -->
    <!-- Verlässlichkeitsinformationen sind nicht personenbeziehbar
        und sollten grundsätzlich an jeden SP übertragen werden -->
    <AttributeFilterPolicy id="ReleaseAssuranceToAnyone">
      <PolicyRequirementRule xsi:type="ANY" />
      <AttributeRule attributeID="eduPersonAssurance" permitAny="true" />
    </AttributeFilterPolicy>

Hinweis

Die Form:

<!--/opt/shibboleth-idp/conf/attribute-filter.xml -->
 <AttributeRule attributeID="..." permitAny="true" />

ist die Kurzform für:

<!--/opt/shibboleth-idp/conf/attribute-filter.xml -->
  <AttributeRule attributeID="...">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule

Entity Attributes & Categories

Zurück zum Inhaltsverzeichnis

Ausführliche Informationen zu Entity Attributes und Entity Categories finden Sie im DFN_Wiki

Übung 4 - Anbindung des IdP an das DFN edu-ID System

Zurück zum Inhaltsverzeichnis

Infos zu edu-ID sind hier zu finden.

Aufgabe Anbindung des IdP an das DFN edu-ID System

Richten Sie auf dem IdP die Unterstützung für edu-ID ein. Der Test kann auf SP2 durchgeführt werden. Laut Metadaten nimmt dieser SP bereits an edu-ID teil.

Herangehensweise

Stellen Sie fest, welche Attribute benötigt werden und erweitern Sie ggf. die Attribut-Definitionen.

Attribut-Bundle

obligatorisch, sofern vorhanden, sind folgende Attribute:

eduPersonAffiliation

samlPairwiseID

givenName

mail

schacHomeOrganisation

eduPersonAssurance

optional sind weitere Attribute:

displayName

schacPlaceOfBirth

schacDateOfBirth

eduPersonEntitlement

eduPersonOrcid

potstalCode

schacCountryOfResidence

schacPersonalUniqueCode

street

Für die neu zu erstellende Filterregel können Sie folgendes Template verwenden:

<!-- Policy gilt nur für Entitäten mit bestimmtem Entity-Category-Attribut -->  
  <AttributeFilterPolicy id="examplePolicy">
    <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
                              attributeName="http://macedir.org/entity-category"
                              attributeValue="http://example.org/category/example-category"/>

<!-- Attribute und deren Freigaben -->                        
      <AttributeRule attributeID="attribute1" permitAny="true">
        <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
      </AttributeRule>
      <AttributeRule attributeID="attribute2" permitAny="true">
        <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false"/>
      </AttributeRule>
    </AttributeFilterPolicy>

Lösung

toDo

Attribute-Filter für edu-ID

<!-- .... -->  
      <AttributeFilterPolicy id="SPs_locals">
        <PolicyRequirementRule xsi:type="Requester" value="https://sp1.local/shibboleth" />
          <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="sn" permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="givenName"permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="mail"                       permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="uid"                        permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="eduPersonEntitlement"       permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
          <AttributeRule attributeID="eduPersonTargeted"          permitAny="true">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
          </AttributeRule>
        </AttributeFilterPolicy>