547
szerkesztés
Módosítások
→Attribútumok kezelése
==Attribútumok kezelése==
A föderácban használható attribútumok részletes listája a [[HREFAttributeSpec|föderációs attribútum specifikációban|HREFAttributeSpec]] található.
Az egyes attribútumokkal kapcsolatban négy irányból lehetséges beállításokat eszközölni
* Minden SP meghatározhatja, hogy mely attribútumok kiadását követeli meg, és melyek kiadását ajánlja(SP beállítások - Kötelező attribútumok menüpont)* Minden SP meghatározhatja, hogy mely IdP-kkel áll hajlandó attribútumokat elfogadni(SP beállítások - Hallgatóság menüpont)* Minden IdP meghatározhatja általánosságban, hogy ha egy SP tőle egy bizonyos attribútum kiadását megköveteli, vagy ajánlja, akkor azt az attribútumot kiadja-e, vagy sem.(IdP beállítások - Általános attribútum kiadási szabályok menüpont)* Minden IdP meghatározhat SP-specifikus szabályokat, tehát egy-egy SP-re, vagy egy-egy SP egy-egy attribútumára vonatkozólag megadhat az általános beállításaitól eltérő szabályokat (- pl. az eduPersonPrincipalName-t ha általában ajánlva kérik az SP-k, akkor kiadja, de XY SP-nek semmiképp nem adja ki. (IdP beállítások - Egyedi attribútum kiadási szabályok menüpont)
[[További információ az attribútumok implemetációjáról, kapcsolódó fogalmakról|HREFAttributeSpec#Attrib.C3.BAtumok_haszn.C3.A1lata|További információ az attribútumok implemetációjáról, kapcsolódó fogalmakról]]
'''A fenti beállítások eredőjeként generálódik az IdP-k által használandó XML alapú attirbútum filter fájl'''
A generált attribútum filter alapvetően tiltó jellegű, tehát az IdP pontosan azokat az attribútumokat és pontosan azoknak az SP-knek adhatja ki, melyek megadásra kerültek a beállításoknál, egyébként semmit.
Néhány példa a "leképződésre"
* Ha egy SP kiadásra ajánl egy attribútumot, de az IdP (akár az általános-, akár az egyedi attribútum kiadási szabálya miatt) nem adja ki azt, akkor az XML fájlban komment formájában jelenik meg, hogy ezt és ezt az attribútumot igényelné az SP, de nem kerül kiadásra
* Ha egy SP hallgatóságából kitilt egy IdP-t, akkor az IdP attribútum filterében az adott SP-re vonatkozólag nem jelenik meg semmi, amelynek következtében nem is kerül számára kiadásra semmi
'''Adatvédelmi szempontok'''
Ha egy SP megváltoztatja attribútum igényeit pozitív irányba (új attribútumokat kér), úgy a változtatás csak akkor fog belekerülni az IdP-k attirbútum filterébe, amennyiben ezt a változtatást tudomásul tudomásul veszi az IdP oldaláról az illetékes adatvédelmi felelős. Amennyiben egy SP-nél ilyen jellegű változás történik
Az '''<code lang="xml">attribute-filter.xml</code>''' a Shibboleth IdP egyik fontos konfigurációs fájlja, amelyben megadhatjuk, hogy az IdP milyen feltételek teljesülése milyen attribútumokat (ne) adjon ki a hozzáforduló SP-nek. [[Shib2IdpARP|További részletek a filter működéséről]].
https://rr.aai.niif.hu/gen_attribute-filter.php/href/IDP_NEVE/attribute-filter.xml
címen érhető el.
Lévén a generátor három szempont alapján állítja össze a filter fájlt, míg az IdP adminisztrátorának ezek közül csak egyre van teljes rálátása, így az IdP-t úgy kell konfigurálnia, hogy egy automata pl. minden órában letölti a fenti címről az adott IdP-re vonatkozó '''<code lang="xml">attribute-filter.xml</code>'''-t, amely szintén automatikusan, immár a legújabb változtatásokat is tartalmazva, aktivizálódik.
