'''A fenti beállítások eredőjeként generálódik az IdP-k által használandó XML alapú attirbútum filter fájl'''
A generált attribútum filter alapvetően tiltó jellegű, tehát az IdP pontosan azokat az attribútumokat és pontosan azoknak az SP-knek adhatja ki, melyek megadásra kerültek a beállításoknál, egyébként semmit.
'''Néhány példa a "leképződésre"'
* Ha egy SP kiadásra ajánl egy attribútumot, de az IdP (akár az általános-, akár az egyedi attribútum kiadási szabálya miatt) nem adja ki azt, akkor az XML fájlban komment formájában jelenik meg, hogy ezt és ezt az attribútumot igényelné az SP, de nem kerül kiadásra
* Ha egy SP hallgatóságából kitilt egy IdP-t, akkor az IdP attribútum filterében az adott SP-re vonatkozólag nem jelenik meg semmi, amelynek következtében nem is kerül számára kiadásra semmi
'''Adatvédelmi szempontok'''===XML alapú filter===Ha egy SP megváltoztatja attribútum igényeit pozitív irányba (új attribútumokat kér), úgy a változtatás csak akkor fog belekerülni az * Shibboleth IdP-nél: <code lang="xml">attribute-filter.xml</code>* simpleSAMLphp IdP-k attirbútum filterébenél: <code lang="xml">AttributeFilter.xml</code> A filter fájlok Resource Registry által előállított változatát használni nem kötelező, amennyiben ezt a változtatást tudomásul tudomásul veszi de fokozottan ajánlott, hiszen ezzel garantálható egyfelől, hogy az IdP oldaláról -n keresztül autentikáló felhasználók azokat az illetékes adatvédelmi felelős. Amennyiben egy SP-nél ilyen jellegű változás történikket, melyeket el kell tudniuk érni, jól fogják, megfelelő attribútumokkal "a zsebükben" fogják tudni elérni, másfelől így tudnak érvényesülni a feljebb részletezett korlátozó szabályzások.
Az '''<code lang="xml">attribute-filter.xml</code>''' ==Adatvédelmi szempontok===Ha egy SP megváltoztatja attribútum igényeit pozitív irányba (új attribútumokat kér), úgy a Shibboleth változtatás csak akkor fog belekerülni az IdP egyik fontos konfigurációs fájlja-k attirbútum filterébe, amelyben megadhatjuk, hogy amennyiben ezt a változtatást tudomásul tudomásul veszi az IdP milyen feltételek teljesülése milyen attribútumokat (ne) adjon ki a hozzáforduló oldaláról az illetékes adatvédelmi felelős. Amennyiben egy SP-nek. [[Shib2IdpARP|További részletek nél ilyen jellegű változás történik, a filter működéséről]]rendszer e-mailben értesíti az érintett IdP-k gazdáit, adatvédelmi felelőseit.
A föderációban résztvevő IdP-k számára ===Gyakorlati ajánlás===Kihasználandó a Resource Registry dinamikusan generálja a '''<code lang="xml">attributeáltal biztosított lehetőségeket ajánljuk, hogy az IdP-hez tartozó generált attribútum filter.xml</code>'''fájlt automatikusan töltsék le az IdP-tk, bizonyos időközönként (óránként, amely mindig a https://rrnaponta párszor..aai.niif), hiszen ezekbe csak úgy kerülhet változtatás, ha azt az IdP adatvédelmi felelőse jóváhagyta, akkor viszont egyből átvezetődik a változtatás, nem szükséges kézzel letölteni, ill.hu/gen_attributeújraindítani az IdP-filtert.php/href/IDP_NEVE/attribute(Shibboleth esetében be kell állítani egy kapcsolót, SSP-nél automatikusan újratölti a friss XML-filter.xml címen érhető el. t)
Lévén a generátor három szempont alapján állítja össze a ;A filter fájlt, míg az IdP adminisztrátorának ezek közül csak egyre van teljes rálátása, így az elérhetősége* Shibboleth IdP: https://rr.aai.niif.hu/gen_attribute-t úgy kell konfigurálnia, hogy egy automata plfilter. minden órában letölti a fenti címről az adott IdPphp/href/IDP_NEVE/attribute-re vonatkozó '''<code lang="filter.xml">attribute* simpleSAMLphp IdP: https://rr.aai.niif.hu/gen_attribute-filter.xml<php/href/IDP_NEVE/code>'''attribute-t, amely szintén automatikusan, immár a legújabb változtatásokat is tartalmazva, aktivizálódikfilter.xml
