Panneau latéral
Configurations avancées
Dans la première partie de la documentation, nous avons abordé les étapes minimales de mise en oeuvre d'un IdP. Dans cette seconde partie, nous évoquons des aspects de configuration plus avancées.
1. Définition de nouveaux attributs
Pour définir de nouveaux nouveaux attributs utilisateur propageables par votre IdP, vous devez à la fois définir l'alimentation des attributs (fichier attribute-resolver.xml) et la politique de diffusion de ces attributs (fichier attribute-filter.xml).
Pour les besoins de la formation, nous avons préparé un fichier attribute-resolver.xml définissant la plupart des attributs mentionnés dans les recommandations SupAnn. Dans le chapitre suivant nous verrons comment automatiser la diffusion d'attributs.
Vous pouvez télécharger le fichier de configuration attribute-resolver.xml depuis le site de RENATER. Gardez tout de même les anciens en les renommant.
Le fichier attribute-resolver.xml distribué par RENATER pour un IdP 2.x comporte une différence concernant l'attribut mail dont ID était précédemment email. Dans le contexte d'une migration IdP 2.x ⇒ IdP 3.x, si vous conservez des fichiers attribute-filter.xml hérités de la version 2.x, veillez à corriger les références à l'attribut mail.
$> cd $> git clone https://git.renater.fr/anonscm/git/partage-fede/formation.git $> cd formation $> sudo cp idp/conf/attribute-resolver.xml /opt/shibboleth-idp/conf/attribute-resolver-ldap.xml
Pour prendre en compte le nouveau fichier de configuration :
$> /opt/shibboleth-idp/bin/reload-service.sh -id=shibboleth.AttributeResolverService
La modification du fichier
attribute-resolver.xml n'a pas encore d'impact visible puisque nous n'avons pas encore défini de politique de diffusion d'attribut utilisant les nouveaux attributs utilisateur.
Fichiers de configuration édités dans ce chapitre :
- /opt/shibboleth-idp/conf/attribute-resolver-ldap.xml