[HREF-tech] RR tapasztalatok - SP szűrési szabályok

2010. Ápr. 22., Cs, 11:20:57 CEST

Szia Tamás! :)

On Wed, Apr 21, 2010 at 04:59:33PM +0200, FRANK Tamas wrote:
> Szia Tamás!
> 
> On 2010.04.20., at 17:18, Csillag Tamas wrote:
...
> > -n a belépés. (Mert ha valakinél csak ajánlott az eppn kiadása, annak
> > nem adom ki.) Kézzel felvettem a RR-ben, hogy a wiki.aai -nak
> > mindenképp adja ki. Most működik.
> > . Esetleg át lehetne írni, hogy ne ajánlott, hanem kötelező legyen?
> 
> Igen, ezt át is írtuk.

Köszi!

...
> Ajánlások IdP oldalra:
> - ha van lehetőség megfelelő mysql háttérre, akkor ajánlott a
> storedID használata, hiszen ezt ki lehet adni persistent nameID-ként
> is, de az előző pontban írtak szerint is az eptid attribútum
> értékeként.

Ok ezt meg fogom csinálni, Postgres-t már úgyis állítottam be máshoz
tesztként.

...
> Kérdésedre konkrétan válaszolva: előre megfontolt szándékból maradt
> jelöletlen a választógombsor, hogy mindenki elolvassa, s ez alapján
> válasszon.:) Segítségképp az utolsóhoz odatettük az "ajánlott"
> megjegyzést, ez a fenti opciók közül a kettesnek felel meg.

Meglátjuk, hogy ez mennyire fog "működni" ;-)

> > Az SP-nek előkészített attribute-policy.xml szűrést alkalmaz a
> > eppn-re. Nálunk most úgy van konfigurálva, hogy az email címet adja ki
> > eppn-ként (az emailszerver is ezt használja, így ez így jó, user nem
> > módosíthatja). Viszont azt sejtem, hogy nem jó a formátum amiben
> > kiadja, így a ScopingRules kiszűri (jelzi a logban, ha a szűrést
> > megszüntetem az alkalmazás megkapja).
> > . Kérlek segítsetek, hogy az IDP-n, hogyan kell ezt konfigurálni, hogy
> > jól működjön? (továbbra is úgy szeretném, hogy az email címet
> > használja)
> 
> Több megoldás is van, a legegyszerűbb, hogy megírod, melyek a @
> utáni részek, ezek bekerülnek a metadatába, utána már menni fog. Ha
> nagyon sok ilyen érték van, akkor pedig meg kell keresnünk a
> központi metadata aláíró eszköz fejlesztőjét, és lefizetni, hogy
> engedélyezze a speciális karaktereket a metadata scope mezőjében,
> mert akkor elég lenne csak *.ppke.hu -t írni a felsorolás helyett :)

Ok meg fogom írni. Próbáltam a programhoz forrást is keresni, de egy
idő után feladtam.

Kösz mindent!

Üdv.
-- 
CSILLAG Tamas (cstamas) - http://digitus.itk.ppke.hu/~cstamas

The user's going to pick dancing pigs over security every time.
               -- http://en.wikipedia.org/wiki/Dancing_pigs