code.grnet.gr Git - pithos/blob - gss/external-services/shibboleth/AAP.xml

   1 <AttributeAcceptancePolicy xmlns="urn:mace:shibboleth:1.0"
   2     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   3     xsi:schemaLocation="urn:mace:shibboleth:1.0 /opt/shibboleth-1.3/share/xml/shibboleth/shibboleth.xsd">
   4
   5         <!--
   6         An AAP is a set of AttributeRule elements, each one
   7         referencing a specific attribute by URI. All attributes that
   8         should be visible to an application running at the target should
   9         be listed, or they will be filtered out.
  10
  11         The Header and Alias attributes map an attribute to an HTTP header
  12         and to an htaccess rule name respectively. Without Header, the attribute
  13         will only be obtainable from the exported SAML assertion in raw XML.
  14
  15         Scoped attributes can also be filtered on Scope via rules in the
  16         asserting identity provider's metadata.
  17
  18         Finally, a note on naming. The attributes in this file are mostly drawn from
  19         the set documented here:
  20
  21         http://middleware.internet2.edu/urn-mace/urn-mace-dir-attribute-def.html
  22
  23         The     actual naming convention most of them follow is NOT to be used for
  24         any subsequent attributes bound to SAML, and you are NOT free to just
  25         make up names using it, because the urn:mace:dir namespace tree is
  26         controlled. For help and advice on defining new attributes, refer to:
  27
  28         https://spaces.internet2.edu/display/SHIB/AttributeNaming
  29         -->
  30
  31         <!-- First some useful eduPerson attributes that many sites might use. -->
  32
  33         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" Scoped="true" CaseSensitive="false" Header="Shib-EP-Affiliation" Alias="affiliation">
  34                 <!-- Filtering rule to limit values to eduPerson-defined enumeration. -->
  35         <AnySite>
  36             <Value>MEMBER</Value>
  37             <Value>FACULTY</Value>
  38             <Value>STUDENT</Value>
  39             <Value>STAFF</Value>
  40             <Value>ALUM</Value>
  41             <Value>AFFILIATE</Value>
  42             <Value>EMPLOYEE</Value>
  43         </AnySite>
  44
  45         <!-- Example of Scope rule to override site metadata. -->
  46         <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  47                 <Scope Accept="false">shibdev.edu</Scope>
  48                 <Scope Type="regexp">^.+\.shibdev\.edu$</Scope>
  49         </SiteRule>
  50         </AttributeRule>
  51
  52         <!--
  53         This attribute is provided mostly to ease testing because an IdP out of the box only
  54         sends the unscoped version. It has little use because it lacks the context needed to
  55         work in a multi-domain scenario and is a subset of the scoped version anyway.
  56          -->
  57         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonAffiliation" CaseSensitive="false" Header="Shib-EP-UnscopedAffiliation" Alias="unscoped-affiliation">
  58         <AnySite>
  59             <Value>MEMBER</Value>
  60             <Value>FACULTY</Value>
  61             <Value>STUDENT</Value>
  62             <Value>STAFF</Value>
  63             <Value>ALUM</Value>
  64             <Value>AFFILIATE</Value>
  65             <Value>EMPLOYEE</Value>
  66         </AnySite>
  67         </AttributeRule>
  68
  69     <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrincipalName" Scoped="true" Header="REMOTE_USER" Alias="user">
  70                 <!-- Basic rule to pass through any value. -->
  71         <AnySite>
  72             <Value Type="regexp">^[^@]+$</Value>
  73         </AnySite>
  74     </AttributeRule>
  75
  76         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonEntitlement" Header="Shib-EP-Entitlement" Alias="entitlement">
  77                 <!-- Entitlements tend to be filtered per-site. -->
  78
  79                 <!--
  80                 Optional site rule that applies to any site
  81                 <AnySite>
  82                         <Value>urn:mace:example.edu:exampleEntitlement</Value>
  83                 </AnySite>
  84                 -->
  85
  86                 <!-- Specific rules for an origin site, these are just development/sample sites. -->
  87                 <SiteRule Name="urn:mace:inqueue:example.edu">
  88                         <Value Type="regexp">^urn:mace:.+$</Value>
  89                 </SiteRule>
  90                 <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  91                         <Value Type="regexp">^urn:mace:.+$</Value>
  92                 </SiteRule>
  93         </AttributeRule>
  94
  95         <!-- A persistent id attribute that supports personalized anonymous access. -->
  96
  97         <!-- First, the deprecated version: -->
  98         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonTargetedID" Scoped="true" Header="Shib-TargetedID" Alias="targeted_id">
  99         <AnySite>
 100             <AnyValue/>
 101         </AnySite>
 102         </AttributeRule>
 103
 104         <!-- Second, the new version (note the OID-style name): -->
 105         <AttributeRule Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" Header="Shib-TargetedID" Alias="targeted_id">
 106         <AnySite>
 107             <AnyValue/>
 108         </AnySite>
 109         </AttributeRule>
 110
 111         <!-- Some more eduPerson attributes, uncomment these to use them... -->
 112         <!--
 113
 114         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonNickname">
 115         <AnySite>
 116             <AnyValue/>
 117         </AnySite>
 118         </AttributeRule>
 119
 120         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation" CaseSensitive="false" Header="Shib-EP-PrimaryAffiliation">
 121         <AnySite>
 122             <Value>MEMBER</Value>
 123             <Value>FACULTY</Value>
 124             <Value>STUDENT</Value>
 125             <Value>STAFF</Value>
 126             <Value>ALUM</Value>
 127             <Value>AFFILIATE</Value>
 128             <Value>EMPLOYEE</Value>
 129         </AnySite>
 130         </AttributeRule>
 131
 132         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN" Header="Shib-EP-PrimaryOrgUnitDN">
 133         <AnySite>
 134             <AnyValue/>
 135         </AnySite>
 136         </AttributeRule>
 137
 138         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgUnitDN" Header="Shib-EP-OrgUnitDN">
 139         <AnySite>
 140             <AnyValue/>
 141         </AnySite>
 142         </AttributeRule>
 143
 144         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgDN" Header="Shib-EP-OrgDN">
 145         <AnySite>
 146             <AnyValue/>
 147         </AnySite>
 148         </AttributeRule>
 149
 150         -->
 151
 152
 153         <!--Examples of common LDAP-based attributes, uncomment to use these... -->
 154
 155         <AttributeRule Name="urn:mace:dir:attribute-def:cn" Header="Shib-Person-commonName">
 156                 <AnySite>
 157             <AnyValue/>
 158         </AnySite>
 159         </AttributeRule>
 160
 161         <AttributeRule Name="urn:mace:dir:attribute-def:sn" Header="Shib-Person-surname">
 162                 <AnySite>
 163             <AnyValue/>
 164         </AnySite>
 165         </AttributeRule>
 166
 167         <AttributeRule Name="urn:mace:dir:attribute-def:mail" Header="Shib-InetOrgPerson-mail">
 168                 <AnySite>
 169             <AnyValue/>
 170         </AnySite>
 171         </AttributeRule>
 172
 173         <AttributeRule Name="urn:mace:dir:attribute-def:telephoneNumber" Header="Shib-Person-telephoneNumber">
 174                 <AnySite>
 175             <AnyValue/>
 176         </AnySite>
 177         </AttributeRule>
 178
 179         <AttributeRule Name="urn:mace:dir:attribute-def:title" Header="Shib-OrgPerson-title">
 180                 <AnySite>
 181             <AnyValue/>
 182         </AnySite>
 183         </AttributeRule>
 184
 185         <AttributeRule Name="urn:mace:dir:attribute-def:initials" Header="Shib-InetOrgPerson-initials">
 186                 <AnySite>
 187             <AnyValue/>
 188         </AnySite>
 189         </AttributeRule>
 190
 191         <AttributeRule Name="urn:mace:dir:attribute-def:description" Header="Shib-Person-description">
 192                 <AnySite>
 193             <AnyValue/>
 194         </AnySite>
 195         </AttributeRule>
 196
 197         <AttributeRule Name="urn:mace:dir:attribute-def:carLicense" Header="Shib-InetOrgPerson-carLicense">
 198                 <AnySite>
 199             <AnyValue/>
 200         </AnySite>
 201         </AttributeRule>
 202
 203         <AttributeRule Name="urn:mace:dir:attribute-def:departmentNumber" Header="Shib-InetOrgPerson-deptNum">
 204                 <AnySite>
 205             <AnyValue/>
 206         </AnySite>
 207         </AttributeRule>
 208
 209         <AttributeRule Name="urn:mace:dir:attribute-def:displayName" Header="Shib-InetOrgPerson-displayName">
 210                 <AnySite>
 211             <AnyValue/>
 212         </AnySite>
 213         </AttributeRule>
 214
 215         <AttributeRule Name="urn:mace:dir:attribute-def:employeeNumber" Header="Shib-InetOrgPerson-employeeNum">
 216                 <AnySite>
 217             <AnyValue/>
 218         </AnySite>
 219         </AttributeRule>
 220
 221         <AttributeRule Name="urn:mace:dir:attribute-def:employeeType" Header="Shib-InetOrgPerson-employeeType">
 222                 <AnySite>
 223             <AnyValue/>
 224         </AnySite>
 225         </AttributeRule>
 226
 227         <AttributeRule Name="urn:mace:dir:attribute-def:preferredLanguage" Header="Shib-InetOrgPerson-prefLang">
 228                 <AnySite>
 229             <AnyValue/>
 230         </AnySite>
 231         </AttributeRule>
 232
 233         <AttributeRule Name="urn:mace:dir:attribute-def:manager" Header="Shib-InetOrgPerson-manager">
 234                 <AnySite>
 235             <AnyValue/>
 236         </AnySite>
 237         </AttributeRule>
 238
 239         <AttributeRule Name="urn:mace:dir:attribute-def:roomNumber" Header="Shib-InetOrgPerson-roomNum">
 240                 <AnySite>
 241             <AnyValue/>
 242         </AnySite>
 243         </AttributeRule>
 244
 245         <AttributeRule Name="urn:mace:dir:attribute-def:seeAlso" Header="Shib-OrgPerson-seeAlso">
 246                 <AnySite>
 247             <AnyValue/>
 248         </AnySite>
 249         </AttributeRule>
 250
 251         <AttributeRule Name="urn:mace:dir:attribute-def:facsimileTelephoneNumber" Header="Shib-OrgPerson-fax">
 252                 <AnySite>
 253             <AnyValue/>
 254         </AnySite>
 255         </AttributeRule>
 256
 257         <AttributeRule Name="urn:mace:dir:attribute-def:street" Header="Shib-OrgPerson-street">
 258                 <AnySite>
 259             <AnyValue/>
 260         </AnySite>
 261         </AttributeRule>
 262
 263         <AttributeRule Name="urn:mace:dir:attribute-def:postOfficeBox" Header="Shib-OrgPerson-POBox">
 264                 <AnySite>
 265             <AnyValue/>
 266         </AnySite>
 267         </AttributeRule>
 268
 269         <AttributeRule Name="urn:mace:dir:attribute-def:postalCode" Header="Shib-OrgPerson-postalCode">
 270                 <AnySite>
 271             <AnyValue/>
 272         </AnySite>
 273         </AttributeRule>
 274
 275         <AttributeRule Name="urn:mace:dir:attribute-def:st" Header="Shib-OrgPerson-state">
 276                 <AnySite>
 277             <AnyValue/>
 278         </AnySite>
 279         </AttributeRule>
 280
 281         <AttributeRule Name="urn:mace:dir:attribute-def:givenName" Header="Shib-InetOrgPerson-givenName">
 282                 <AnySite>
 283             <AnyValue/>
 284         </AnySite>
 285         </AttributeRule>
 286
 287         <AttributeRule Name="urn:mace:dir:attribute-def:l" Header="Shib-OrgPerson-locality">
 288                 <AnySite>
 289             <AnyValue/>
 290         </AnySite>
 291         </AttributeRule>
 292
 293         <AttributeRule Name="urn:mace:dir:attribute-def:businessCategory" Header="Shib-InetOrgPerson-businessCat">
 294                 <AnySite>
 295             <AnyValue/>
 296         </AnySite>
 297         </AttributeRule>
 298
 299         <AttributeRule Name="urn:mace:dir:attribute-def:ou" Header="Shib-OrgPerson-orgUnit">
 300                 <AnySite>
 301             <AnyValue/>
 302         </AnySite>
 303         </AttributeRule>
 304
 305         <AttributeRule Name="urn:mace:dir:attribute-def:physicalDeliveryOfficeName" Header="Shib-OrgPerson-OfficeName">
 306                 <AnySite>
 307             <AnyValue/>
 308         </AnySite>
 309         </AttributeRule>
 310
 311
 312 </AttributeAcceptancePolicy>