Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Sidan Tjänster och Produkter visar inte heller vilket ```entityID```  som entityID  som kräver vilka attribut. I händelsen att en tjänsteleverantör har flera entiteter kan det därmed fortfarande behövas kontakt med tjänsteleverantör.

Tjänster har idag ingen möjlighet att få kännedom om vilka attribut som en IdP kan leverera. Detta eftersom det inte har funnits krav på att IdP’n ska presentera detta i metadata eller på annat vis.

Info
titleKommande förändring
Skolfederation ämnar att förändra så deklaration av attribut hanteras i federationens metadata.

Deklaration för SAML SP

I SAML-federation finns stöd för att deklarera vilka attribut tjänsten efterfrågar vid inloggning. Det ger en tydligare koppling vilken tjänst/vilket entityID som   som kräver vilka attribut. Om alla tjänster deklarerar sina önskade attribut i sitt metadata, finns möjligheterna att

...

Attributdeklarationen görs i elementet {{<AttributeConsumingService>}}. I AttributeConsumingService definieras också namn på tjänst och dess beskrivning. Tjänsten ska definiera namn, beskrivning och åtminstone ett önskat attribut i AttributeConsumingService. Tjänstens namn och beskrivning måste finnas på både svenska och engelska.

...

Attribut samt tjänstens namn och beskrivning deklareras i {{<AttributeConsumingService>}}.

Exempel i metadata:


Code Block
languagexml
titleExempel metadata
collapsetrue
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://example.com" ...>
  <md:SPSSODescriptor...>
    ...
    <md:AssertionConsumerService ... />
    
    <md:AttributeConsumingService index="0">
      <md:ServiceName xml:lang="en">Example service</md:ServiceName>
      <md:ServiceName xml:lang="sv">Exempeltjänst</md:ServiceName>
      <md:ServiceDescription xml:lang="en">Description of service</md:ServiceDescription>
      <md:ServiceDescription xml:lang="sv">Beskrivning av tjänst</md:ServiceDescription>
      <md:RequestedAttribute FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" isRequired="true"/>
      <md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42"/>
      <md:RequestedAttribute FriendlyName="surName" Name="urn:oid:2.5.4.4"/>
    </md:AttributeConsumingService>
    
  </md:SPSSODescriptor>
</md:EntityDescriptor>


Observera att AttributeConsumingService behöver anges i följd efter AssertionConsumerService och innan slutet på SPSSODescriptor. Är det felplacerat i metadata kommer metadatavalidatorn att visa fel för XML-schema vid uppladdning, liknande detta:

Image AddedImage Added

Vad krävs från mig som tjänsteleverantör?

...

I SAML-metadata kan användarorganisationer deklarera vilka attribut de kan för att ge ut i elementet <Attribute> Attribute . IdP måste ha deklarerat stöd för minst ett attribut i metadata. IdP’er kan välja att även deklarera vilka värden som stöds per attribut.

...

I nedanstående exempel visas en IdP som deklarerat stöd för att släppa två attribut: eduPersonPrincipalName och eduPersonEntitlement. För eduPersonEntitlement har IdP’n även deklarerat ett värde till eduPersonEntitlement.

Code Block
languagexml
titleExempel metadata
collapsetrue
<md:EntityDescriptor xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://example.com/">
  <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    ...
    <md:SingleSignOnService ... />
    <md:NameIDMappingService ... />
    
    <saml:Attribute 
      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
      Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
      FriendlyName="eduPersonPrincipalName">
    </saml:Attribute>
    <saml:Attribute
      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
      Name="urn:oid: 1.3.6.1.4.1.5923.1.1.1.7"
      FriendlyName="eduPersonEntitlement">
        <saml:AttributeValue>
          http://example.com/contracts/HEd123
        </saml:AttributeValue>
    </saml:Attribute>
    
  </md:IDPSSODescriptor>
</md:EntityDescriptor>

Observera att attributdeklarationen behöver anges i följd efter SingleSignOnService och eventuell NameIDMappingService samt innan slutet på IDPSSODescriptor. Är det felplacerat i metadata kommer metadatavalidatorn att visa fel för XML-schema vid uppladdning, liknande detta:

...