Tack Tobias för att du återkopplade din lösning. Jag fick i veckan motsvarande problem med ett annat attribut som jag ville lägga till, och din föreslagna lösning hjälpte mig.

 

Jag vet inte om det har att göra med att vi kör en installation som uppgraderats, och att detta är ett resultat av vad som beskrivs i https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1272054306/AttributeRegistryConfiguration#Upgrades

 

Jag tolkade dock den texten som att den skulle fortsätta läsa i befintliga resolver-configs (”load only the existing AttributeResolverConfiguration resources”), men det verkar som att om jag lägger till en ny attributdefinition i befintlig fil så behöver jag ange en transcoder-konfiguration (åtminstone tills jag beslutat om huruvida vi skall köra med den nya konfigurationslösningen fullt ut eller inte).

 

Med vänlig hälsning

/Johan

 

From: Tobias Galéus <tobias.galeus@gu.se>
Sent: den 10 mars 2023 14:15
To: saml-admins@lists.sunet.se
Subject: [Saml-admins] Re: norEduPersonLIN does not have any transcoding rules

 

Passar på att återkoppla här.

 

Attributet lästes ut korrekt. Körde jag aacli med idp-mgr.sh (som följer med SWAMIDs installationsscript för idp v3) och valde att se attribut som json fungerar det, men inte som SAML2.

 

Tog den snabba lösningen och lade in attributet i en propertiesfil under /opt/shibboleth-idp/conf/attributes/custom och nu fungerar det.

[xgalto@shib01-p custom]# cat noredu.properties

id=norEduPersonLIN

transcoder=SAML2ScopedStringTranscoder

saml2.name=urn:oid:1.3.6.1.4.1.2428.90.1.4

[root@shib01-p custom]# pwd

 

Tack för svaren!

 

Mvh Tobias

 


Från: Paul Scott <paul.scott@kau.se>
Skickat: den 8 mars 2023 09:20
Till: saml-admins@lists.sunet.se <saml-admins@lists.sunet.se>
Ämne: [Saml-admins] Re: norEduPersonLIN does not have any transcoding rules

 


Jag kan inte se något fel med din konfiguration eller kod. Jag har
testat din konfiguration (med några justeringar för min egen miljö) och
det fungerar. Du ska inte behöva någon transcoder.

Jag föreslå att du börja med att dumpa ut innehållet av norEduPersonLIN
till loggen för att kolla att skriptet hämtar och bygger
someADattribute korrekt.

logger =
Java.type("org.slf4j.LoggerFactory").getLogger("net.shibboleth.idp.attr
ibute.resolver.eppnbuilder");

sedan

logger.debug("norEduPersonLIN set to " + norEduPersonLIN.getValues())

/Paul.

On Tue, 2023-03-07 at 18:29 +0000, Tobias Galéus wrote:
> Ja, det var lite klumpigt maskat och dåligt uttryckt av mig. Övriga
> attribut till tjänsten släpps korrekt enligt attribut-filtret. Det är
> bara norEduPersonLIN som inte släpps.
>
> Jag gissar att jag kan lägga in en custom transcoder i
> conf/attributes/custom, men eftersom norEduPersonNIN (som fungerar)
> inte finns varken där eller i någon fil i conf/attributes så borde
> det väl fungera ändå?
>
> Mvh Tobias
>
> Från: Pål Axelsson <pax@sunet.se>
> Skickat: den 7 mars 2023 18:48
> Till: Tobias Galéus <tobias.galeus@gu.se>; saml-admins@lists.sunet.se
> <saml-admins@lists.sunet.se>
> Ämne: RE: [Saml-admins] norEduPersonLIN does not have any transcoding
> rules
>
> Hallå,
>
> Bara en kontrollfråga, är något av värdena för Requester entityid för
> tjänsten?
>
> Pål
>
>
> From: Tobias Galéus <tobias.galeus@gu.se>
> Sent: Tuesday, March 7, 2023 4:31 PM
> To: saml-admins@lists.sunet.se
> Subject: [Saml-admins] norEduPersonLIN does not have any transcoding
> rules
>
> Hej!
>
> Kan någon hjälpa mig förstå varför jag inte lyckas
> släppa norEduPersonLIN ordentligt till vår nya portal?
>
> I Shibboleths debuglog får jag
> 2023-03-07 12:39:22,343 - DEBUG
> [net.shibboleth.idp.saml.profile.impl.BaseAddAttributeStatementToAsse
> rtion:321] - Profile Action AddAttributeStatementToAssertion:
> Attribute norEduPersonLIN does not have any transcoding rules,
> nothing to do|0:0:0:0:0:0:0:1|
>
> Vår attribute-resolver.xml:
>         <AttributeDefinition xsi:type="ScriptedAttribute"
> id="norEduPersonLIN" xmlns="urn:mace:shibboleth:2.0:resolver">
>         <InputDataConnector ref="myLDAP"
> attributeNames="someADattribute" />
>         <AttributeEncoder xsi:type="SAML1String"
> name="urn:mace:dir:attribute-def:norEduPersonLIN" />
>         <AttributeEncoder xsi:type="SAML2String"
> name="urn:oid:1.3.6.1.4.1.2428.90.1.4" friendlyName="norEduPersonLIN"
> />
>
>         <Script>
>                  <![CDATA[
>                 if (typeof someADattribute != "undefined" &&
> someADattribute.getValues().size() > 0) {
>                         value=someADattribute.getValues().get(0);
>
> norEduPersonLIN.getValues().add("ladok.se:studentuid:" +
> value).toString;
>                 }
>                 ]]>
>         </Script>
>     </AttributeDefinition>
>
> Vår attribute-filter.xml:
> <AttributeFilterPolicy id="releaseXXXXX">
>
>         <PolicyRequirementRule xsi:type="OR">
>             <Rule xsi:type="Requester" value="https://studen" />
>             <Rule xsi:type="Requester" value="https://studenu.se" />
>         </PolicyRequirementRule>
>
>         <AttributeRule attributeID="eduPersonPrincipalName">
>                 <PermitValueRule xsi:type="ANY" />
>         </AttributeRule>
>
>
>         <AttributeRule attributeID="norEduPersonLIN" >
>                 <PermitValueRule xsi:type="ANY" />
>         </AttributeRule>
>
> </AttributeFilterPolicy>
>
> Vad jag tycker är konstigt är att vi gör i princip samma sak för
> norEduPersonNIN och det fungerar till flera SP utan problem. Vad gör
> jag för fel?
>
> Mvh Tobias Galéus
> IT-Enheten
> Göteborgs universitet
> _______________________________________________
> Saml-admins mailing list -- saml-admins@lists.sunet.se
> To unsubscribe send an email to saml-admins-leave@lists.sunet.se
När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter<https://www.kau.se/gdpr>.
When you send an e-mail to Karlstad University, we will process your personal data<https://www.kau.se/en/gdpr>.
_______________________________________________
Saml-admins mailing list -- saml-admins@lists.sunet.se
To unsubscribe send an email to saml-admins-leave@lists.sunet.se