Info | ||
---|---|---|
| ||
Needs an update and translation: document SASM is deprecated and replaced by SAML WebSSO Technical Profile. |
Info | ||
---|---|---|
| ||
Denna instruktion är baserad på dokument Services and Attributes in SAML Metadata v1.0.0, som är en del av Skolfederations policy. Vid händelse av diskrepanser mellan policydokument och denna artikel är det alltid Skolfederations policy som gäller. Denna instruktion ska ses som ett lässtöd. |
...
Sidan Tjänster och Produkter visar inte heller vilket ```entityID``` som entityID
som kräver vilka attribut. I händelsen att en tjänsteleverantör har flera entiteter kan det därmed fortfarande behövas kontakt med tjänsteleverantör.
Tjänster har idag ingen möjlighet att få kännedom om vilka attribut som en IdP kan leverera. Detta eftersom det inte har funnits krav på att IdP’n ska presentera detta i metadata eller på annat vis.
Info | ||
---|---|---|
| ||
Skolfederation ämnar att förändra så deklaration av attribut hanteras i federationens metadata. |
Deklaration för SAML SP
I SAML-federation finns stöd för att deklarera vilka attribut tjänsten efterfrågar vid inloggning. Det ger en tydligare koppling vilken tjänst/vilket entityID
som som kräver vilka attribut. Om alla tjänster deklarerar sina önskade attribut i sitt metadata, finns möjligheterna att
...
Attributdeklarationen görs i elementet {{<AttributeConsumingService>}}. I AttributeConsumingService definieras också namn på tjänst och dess beskrivning. Tjänsten ska definiera namn, beskrivning och åtminstone ett önskat attribut i AttributeConsumingService. Tjänstens namn och beskrivning måste finnas på både svenska och engelska.
...
Attribut samt tjänstens namn och beskrivning deklareras i {{<AttributeConsumingService>}}.
Exempel i metadata:
Code Block | ||||||
---|---|---|---|---|---|---|
| ||||||
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://example.com" ...>
<md:SPSSODescriptor...>
...
<md:AssertionConsumerService ... />
<md:AttributeConsumingService index="0">
<md:ServiceName xml:lang="en">Example service</md:ServiceName>
<md:ServiceName xml:lang="sv">Exempeltjänst</md:ServiceName>
<md:ServiceDescription xml:lang="en">Description of service</md:ServiceDescription>
<md:ServiceDescription xml:lang="sv">Beskrivning av tjänst</md:ServiceDescription>
<md:RequestedAttribute FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" isRequired="true"/>
<md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42"/>
<md:RequestedAttribute FriendlyName="surName" Name="urn:oid:2.5.4.4"/>
</md:AttributeConsumingService>
</md:SPSSODescriptor>
</md:EntityDescriptor> |
Observera att AttributeConsumingService behöver anges i följd efter AssertionConsumerService och innan slutet på SPSSODescriptor. Är det felplacerat i metadata kommer metadatavalidatorn att visa fel för XML-schema vid uppladdning, liknande detta:
Vad krävs från mig som tjänsteleverantör?
...
I SAML-metadata kan användarorganisationer deklarera vilka attribut de kan för att ge ut i elementet <Attribute> Attribute
. IdP måste ha deklarerat stöd för minst ett attribut i metadata. IdP’er kan välja att även deklarera vilka värden som stöds per attribut.
...
I nedanstående exempel visas en IdP som deklarerat stöd för att släppa två attribut: eduPersonPrincipalName och eduPersonEntitlement. För eduPersonEntitlement har IdP’n även deklarerat ett värde till eduPersonEntitlement.
Code Block | ||||||
---|---|---|---|---|---|---|
| ||||||
<md:EntityDescriptor xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://example.com/">
<md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
...
<md:SingleSignOnService ... />
<md:NameIDMappingService ... />
<saml:Attribute
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
FriendlyName="eduPersonPrincipalName">
</saml:Attribute>
<saml:Attribute
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
Name="urn:oid: 1.3.6.1.4.1.5923.1.1.1.7"
FriendlyName="eduPersonEntitlement">
<saml:AttributeValue>
http://example.com/contracts/HEd123
</saml:AttributeValue>
</saml:Attribute>
</md:IDPSSODescriptor>
</md:EntityDescriptor> |
Observera att attributdeklarationen behöver anges i följd efter SingleSignOnService och eventuell NameIDMappingService samt innan slutet på IDPSSODescriptor. Är det felplacerat i metadata kommer metadatavalidatorn att visa fel för XML-schema vid uppladdning, liknande detta:
...