...
| Code Block |
|---|
<MetadataProvider id="kalmar" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
metadataURL="http://kalmar2.org/simplesaml/module.php/aggregator/?id=kalmarcentral2&set=saml2&exclude=sweden"
backingFile="/opt/shibboleth-idp/metadata/kalmar-metadata.xml">
<MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
<MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata"
trustEngineRef="kalmar-metadata-signer"
requireSignedMetadata="true" />
<MetadataFilter xsi:type="EntityRoleWhiteList" xmlns="urn:mace:shibboleth:2.0:metadata">
<RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataFilter>
</MetadataProvider>
|
Attributrelease
Flera av de tjänster som använder federationen Kalmar2 använder attribut ur norEdu-familjen och speciellt Foodle använder även organisationsinformation. Om ni inte redan har lagt in attributdefinitioner norEdu-familjen och rekommenderad release av statisk organisationsinformation i attribute-release.xml är det lämpligt att göra detta.
Attributpolicy
Kalmar Unionen rekommenderar användning av en sk consent-modul som låter användare fatta beslut om vilka attribut som ska skickas i samband med en authenticering. För Shibboleth finns en plugin från Switch AAI som heter uApprove. Om man inte kan eller vill installera uApprove kan man istället använda följande statiska AttributFilterPolicy som ger tillgång till grundläggande personinformation för alla SPer i de nordiska länderna. Klistra in följande XML på rätt plats i attribute-filter.xml:Glöm inte lägga in tillägg för attributdefinitioner norEdu-familjen och rekommenderad release av statisk organisationsinformation i attribute-release.xml.
| Code Block |
|---|
<!-- recommended initial attribute filter policy for Kalmar Union -->
<AttributeFilterPolicy id="kalmar2">
<PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="kalmarcentral2" />
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
<AttributeRule attributeID="commonName">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
<AttributeRule attributeID="email">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
<AttributeRule attributeID="eduPersonScopedAffiliation">
<PermitValueRule xsi:type="basic:OR">
<basic:Rule xsi:type="basic:AttributeValueString" value="faculty" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="student" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="staff" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="alum" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="member" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="affiliate" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="employee" ignoreCase="true" />
<basic:Rule xsi:type="basic:AttributeValueString" value="library-walk-in" ignoreCase="true" />
</PermitValueRule>
</AttributeRule>
</AttributeFilterPolicy>
|