In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Shibboleth-Attribut- Management - DFN-AAI

Werbung 
Shibboleth-AttributManagement
DFN-AAI Workshop Kaiserslautern 23.5.2012
Raoul Boreniu
s – hotline@a
ai.
dfn.de
Inhalt
• Generelles zu Attributen
– Attribut-Schemata: eduPerson, SCHAC
• Attribut-Handling im IdP
– Resolver (attribut-resolver.xml)
– Filter (attribut-filter.xml)
• SAML-Assertion
• Attribut-Handling im SP
– Mapping (attribute-map.xml)
– Filter (attribute-policy.xml)
• Attribut-Mapping in Moodle
Attribute: Generelles
• Attribute bilden die Grundlage für die
Autorisierung (“was darf ich?”).
• IdP stellt mithilfe von Attributen die
notwendigen Informationen über den
User zur Verfügung
• SP nimmt Attribute entgegen und
stellt sie der Applikation zur
Verfügung
• Applikation entscheidet anhand Ihrer
Regeln über den Zugriff.
Attribute: Schemata
• Schemata legen eine Menge von
Attributen, die zulässigen Werte und
deren Bedeutung fest.
• Im Föderationsumfeld hat sich
etabliert:
– eduPerson (Weltweit)
– SCHAC (Erweiterungen für Europa)
– dfnEduPerson (Erweit. für Deutschland)
• Bindend für Kommunikation IdP ↔ SP,
müssen aber nicht im IdM sein!
Attribute: Beispiele
• eduPerson:
– eduPersonScopedAffiliation (RollenZugehörigkeit)
– eduPersonEntitlement (Berechtigung)
– eduPersonPrincipalName (eindeutiger,
nicht anonymer Username)
– eduPersonTargetedId (eindeutiger,
anonymer Username)
• SCHAC:
– schacPersonalUniqueCode (z.B.
Mitarbeiternummer, Matrikelnummer)
Attribut-Handling im IdP
• Liest alle “rohen” Attribute des Users
aus dem IdM (LDAP, SQL)
• “rohe” IdM-Attribute können
gesplittet, zusammengefügt und
umgeschrieben werden
• die transformierten Attribute werden
in SAML1- bzw. SAML2-Assertion
(“Zusicherung”) verpackt.
• Assertion wird per HTTP-Post an den
ACS des SPs geschickt (URL aus
Föderations-Metadaten)
IdP: IdM-Attribute auslesen
• attribute-resolver.xml:
IdP: IdM-Attribute umschreiben
• “rohe” IdM-Attribute werden
umgeschrieben auf eduPerson,
SCHAC, dfnEduPerson, etc.) durch
verschiedene “Attribute Defnitions”:
– Simple
– Mapped
– Script
– etc.
IdP: Beispiel-IdM
IdP: simple attribute definition
• attribute-resolver.xml:
IdP: mapped attribute definition
IdP: script attribute definition
• attribute-resolver.xml:
IdP: attribute encoding
• nach Umwandlung der Attribute
werden diese in eine Form gebracht
die der empfangende SP versteht:
• wird auch in attribute-resolver.xml
konfiguriert.
• die “üblichen” Attribute sind dort
schon eingetragen → im Normalfall
muss man sich nicht darum kümmern.
IdP: Attribut-Filter
• legt fest welche Attribute an einen SP
versendet werden (Datenschutz!)
• sehr flexibel, Regeln sind möglich
– pro Föderation
– pro SP
– pro User
– pro Attribut-Wert
– Boolesche Kombinationen daraus
– scriptbasiert
IdP: Attribut Filter
• attribute-filter.xml, Beispiel für
Verlags-SPs:
IdP: Attribut Filter
• attribute-filter.xml, Beispiel für
Moodle-SP:
IdP: SAML2-Assertion
• Üblicherweise verschlüsselt damit
Daten am Browser nicht abgehört
werden können. Testweise im Klartext
transportierbar
– relying-party.xml:
– logging.xml:
–
• Assertion wird so in idp-process.log
sichtbar.
SAML2-Assertion, Teil 1
SAML2-Assertion, Teil 2
SAML2-Assertion, Teil 3
SAML2-Assertion: SAML-Tracer
• alternatives Debug-Tool:
https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/?src=api
SP: Assertion Consumer Service
• empfängt die SAML-Assertion vom IdP
• extrahiert die Attribute
• mapped Attribute auf interne
Variablen
• filtert Variablen
• exportiert Variablen per CGI-Interface
SP: Attribute umschreiben
• attribute-map.xml
•
•
•
•
•
•
• übliche Attribute sind vordefiniert!
SP: Attribute Filter
• filtert Variablen und deren Werte
– attribute-policy.xml, erzwingt bestimmte
Werte bei eduPersonAffiliation:
• Default-Policy ist meist ausreichend!
(für Moodle keine Anpassung nötig)
SP: Session-Informationen
• https://www.example.com/Shibboleth.sso/Session
SP: REMOTE_USER Variable
• spezielle CGI-Variable in der die
Identität des Users enthalten ist.
• eines oder mehrere Attribute aus
attribute-map.xml können dafür
verwendet werden!
• wird gesetzt in shibboleth2.xml:
• damit lassen sich auch Applikationen
durch Shibboleth schützen die keine
direkte Shibboleth-Unterstützung
mitbringen.
SP: Attribut-Mapping in Moodle
Zugehörige Unterlagen
presentation
presentation
Informatik-Grundwissen zu Beginn der 9. Klasse: Klassen, Objekte
Informatik-Grundwissen zu Beginn der 9. Klasse: Klassen, Objekte
Neptunbrunnen – Neptun – Gott des Meeres in d
Neptunbrunnen – Neptun – Gott des Meeres in d
1. Entity-Relationship
1. Entity-Relationship
1. Entity-Relationship
1. Entity-Relationship
datenbanken - info-wr
datenbanken - info-wr
Pressemeldung als Word
Pressemeldung als Word
Aufgabe 1 Betrachten Sie im normativen Modell den Kauf eines
Aufgabe 1 Betrachten Sie im normativen Modell den Kauf eines
Migrationsstrategien - DFN-AAI - DFN
Migrationsstrategien - DFN-AAI - DFN
Warum XML?
Warum XML?
Attribute - DFN-AAI
Attribute - DFN-AAI
Leitfaden zur Installation und Konfiguration des - DFN-AAI
Leitfaden zur Installation und Konfiguration des - DFN-AAI
Das Entity-Relationship-Modell
Das Entity-Relationship-Modell
1 Einleitung
1 Einleitung
Speichersparende XML Verarbeitung mit StAX und JAXB
Speichersparende XML Verarbeitung mit StAX und JAXB
Entitäten, Entitymengen, Attribute und Relationships Gruppenarbeit
Entitäten, Entitymengen, Attribute und Relationships Gruppenarbeit
Klassen, Attribute, Methoden
Klassen, Attribute, Methoden
Hierarchische und netzwerkartige Datenbanken
Hierarchische und netzwerkartige Datenbanken
Preferences of Swiss Food Processing Companies for Attributes of
Preferences of Swiss Food Processing Companies for Attributes of
Zeitplan
Zeitplan
Das X im DOC - net Developers Group Berlin Brandenburg
Das X im DOC - net Developers Group Berlin Brandenburg
XML Software Editoren
XML Software Editoren
Herunterladen
Werbung