configs/AAP.xml.in

   1 <AttributeAcceptancePolicy xmlns="urn:mace:shibboleth:1.0"
   2     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   3     xsi:schemaLocation="urn:mace:shibboleth:1.0 @-PKGXMLDIR-@/shibboleth.xsd">
   4
   5         <!--
   6         An AAP is a set of AttributeRule elements, each one
   7         referencing a specific attribute by URI. All attributes that
   8         should be visible to an application running at the target should
   9         be listed, or they will be filtered out.
  10
  11         The Header and Alias attributes map an attribute to an HTTP header
  12         and to an htaccess rule name respectively. Without Header, the attribute
  13         will only be obtainable from the exported SAML assertion in raw XML.
  14
  15         Scoped attributes can also be filtered on Scope via rules in the
  16         asserting identity provider's metadata.
  17
  18         Finally, a note on naming. The attributes in this file are mostly drawn from
  19         the set documented here:
  20
  21         http://middleware.internet2.edu/urn-mace/urn-mace-dir-attribute-def.html
  22
  23         The     actual naming convention most of them follow is NOT to be used for
  24         any subsequent attributes bound to SAML, and you are NOT free to just
  25         make up names using it, because the urn:mace:dir namespace tree is
  26         controlled. For help and advice on defining new attributes, refer to:
  27
  28         https://spaces.internet2.edu/display/SHIB/AttributeNaming
  29         -->
  30
  31         <!-- First some useful eduPerson attributes that many sites might use. -->
  32
  33         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" Scoped="true" CaseSensitive="false" Header="Shib-EP-Affiliation" Alias="affiliation">
  34                 <!-- Filtering rule to limit values to eduPerson-defined enumeration. -->
  35         <AnySite>
  36             <Value>MEMBER</Value>
  37             <Value>FACULTY</Value>
  38             <Value>STUDENT</Value>
  39             <Value>STAFF</Value>
  40             <Value>ALUM</Value>
  41             <Value>AFFILIATE</Value>
  42             <Value>EMPLOYEE</Value>
  43         </AnySite>
  44
  45         <!-- Example of Scope rule to override site metadata. -->
  46         <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  47                 <Scope Accept="false">shibdev.edu</Scope>
  48                 <Scope Type="regexp">^.+\.shibdev\.edu$</Scope>
  49         </SiteRule>
  50         </AttributeRule>
  51
  52         <!--
  53         This attribute is provided mostly to ease testing because an IdP out of the box only
  54         sends the unscoped version. It has little use because it lacks the context needed to
  55         work in a multi-domain scenario and is a subset of the scoped version anyway.
  56          -->
  57         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonAffiliation" CaseSensitive="false" Header="Shib-EP-UnscopedAffiliation" Alias="unscoped-affiliation">
  58         <AnySite>
  59             <Value>MEMBER</Value>
  60             <Value>FACULTY</Value>
  61             <Value>STUDENT</Value>
  62             <Value>STAFF</Value>
  63             <Value>ALUM</Value>
  64             <Value>AFFILIATE</Value>
  65             <Value>EMPLOYEE</Value>
  66         </AnySite>
  67         </AttributeRule>
  68
  69     <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrincipalName" Scoped="true" Header="REMOTE_USER" Alias="user">
  70                 <!-- Basic rule to pass through any value. -->
  71         <AnySite>
  72             <Value Type="regexp">^[^@]+$</Value>
  73         </AnySite>
  74     </AttributeRule>
  75
  76         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonEntitlement" Header="Shib-EP-Entitlement" Alias="entitlement">
  77                 <!-- Entitlements tend to be filtered per-site. -->
  78
  79                 <!--
  80                 Optional site rule that applies to any site
  81                 <AnySite>
  82                         <Value>urn:mace:example.edu:exampleEntitlement</Value>
  83                 </AnySite>
  84                 -->
  85
  86                 <!-- Specific rules for an origin site, these are just development/sample sites. -->
  87                 <SiteRule Name="urn:mace:inqueue:example.edu">
  88                         <Value Type="regexp">^urn:mace:.+$</Value>
  89                 </SiteRule>
  90                 <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  91                         <Value Type="regexp">^urn:mace:.+$</Value>
  92                 </SiteRule>
  93         </AttributeRule>
  94
  95         <!-- A persistent id attribute that supports personalized anonymous access. -->
  96
  97         <!-- First, the deprecated version: -->
  98         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonTargetedID" Scoped="true" Header="Shib-TargetedID" Alias="targeted_id">
  99         <AnySite>
 100             <AnyValue/>
 101         </AnySite>
 102         </AttributeRule>
 103
 104         <!-- Second, the new version (note the OID-style name): -->
 105         <AttributeRule Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" Header="Shib-TargetedID" Alias="targeted_id">
 106         <AnySite>
 107             <AnyValue/>
 108         </AnySite>
 109         </AttributeRule>
 110
 111         <!-- Some more eduPerson attributes, uncomment these to use them... -->
 112         <!--
 113
 114         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonNickname">
 115         <AnySite>
 116             <AnyValue/>
 117         </AnySite>
 118         </AttributeRule>
 119
 120         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation" CaseSensitive="false" Header="Shib-EP-PrimaryAffiliation">
 121         <AnySite>
 122             <Value>MEMBER</Value>
 123             <Value>FACULTY</Value>
 124             <Value>STUDENT</Value>
 125             <Value>STAFF</Value>
 126             <Value>ALUM</Value>
 127             <Value>AFFILIATE</Value>
 128             <Value>EMPLOYEE</Value>
 129         </AnySite>
 130         </AttributeRule>
 131
 132         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN" Header="Shib-EP-PrimaryOrgUnitDN">
 133         <AnySite>
 134             <AnyValue/>
 135         </AnySite>
 136         </AttributeRule>
 137
 138         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgUnitDN" Header="Shib-EP-OrgUnitDN">
 139         <AnySite>
 140             <AnyValue/>
 141         </AnySite>
 142         </AttributeRule>
 143
 144         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgDN" Header="Shib-EP-OrgDN">
 145         <AnySite>
 146             <AnyValue/>
 147         </AnySite>
 148         </AttributeRule>
 149
 150         -->
 151
 152
 153         <!--Examples of common LDAP-based attributes, uncomment to use these... -->
 154         <!--
 155
 156         <AttributeRule Name="urn:mace:dir:attribute-def:cn" Header="Shib-Person-commonName">
 157                 <AnySite>
 158             <AnyValue/>
 159         </AnySite>
 160         </AttributeRule>
 161
 162         <AttributeRule Name="urn:mace:dir:attribute-def:sn" Header="Shib-Person-surname">
 163                 <AnySite>
 164             <AnyValue/>
 165         </AnySite>
 166         </AttributeRule>
 167
 168         <AttributeRule Name="urn:mace:dir:attribute-def:mail" Header="Shib-InetOrgPerson-mail">
 169                 <AnySite>
 170             <AnyValue/>
 171         </AnySite>
 172         </AttributeRule>
 173
 174         <AttributeRule Name="urn:mace:dir:attribute-def:telephoneNumber" Header="Shib-Person-telephoneNumber">
 175                 <AnySite>
 176             <AnyValue/>
 177         </AnySite>
 178         </AttributeRule>
 179
 180         <AttributeRule Name="urn:mace:dir:attribute-def:title" Header="Shib-OrgPerson-title">
 181                 <AnySite>
 182             <AnyValue/>
 183         </AnySite>
 184         </AttributeRule>
 185
 186         <AttributeRule Name="urn:mace:dir:attribute-def:initials" Header="Shib-InetOrgPerson-initials">
 187                 <AnySite>
 188             <AnyValue/>
 189         </AnySite>
 190         </AttributeRule>
 191
 192         <AttributeRule Name="urn:mace:dir:attribute-def:description" Header="Shib-Person-description">
 193                 <AnySite>
 194             <AnyValue/>
 195         </AnySite>
 196         </AttributeRule>
 197
 198         <AttributeRule Name="urn:mace:dir:attribute-def:carLicense" Header="Shib-InetOrgPerson-carLicense">
 199                 <AnySite>
 200             <AnyValue/>
 201         </AnySite>
 202         </AttributeRule>
 203
 204         <AttributeRule Name="urn:mace:dir:attribute-def:departmentNumber" Header="Shib-InetOrgPerson-deptNum">
 205                 <AnySite>
 206             <AnyValue/>
 207         </AnySite>
 208         </AttributeRule>
 209
 210         <AttributeRule Name="urn:mace:dir:attribute-def:displayName" Header="Shib-InetOrgPerson-displayName">
 211                 <AnySite>
 212             <AnyValue/>
 213         </AnySite>
 214         </AttributeRule>
 215
 216         <AttributeRule Name="urn:mace:dir:attribute-def:employeeNumber" Header="Shib-InetOrgPerson-employeeNum">
 217                 <AnySite>
 218             <AnyValue/>
 219         </AnySite>
 220         </AttributeRule>
 221
 222         <AttributeRule Name="urn:mace:dir:attribute-def:employeeType" Header="Shib-InetOrgPerson-employeeType">
 223                 <AnySite>
 224             <AnyValue/>
 225         </AnySite>
 226         </AttributeRule>
 227
 228         <AttributeRule Name="urn:mace:dir:attribute-def:preferredLanguage" Header="Shib-InetOrgPerson-prefLang">
 229                 <AnySite>
 230             <AnyValue/>
 231         </AnySite>
 232         </AttributeRule>
 233
 234         <AttributeRule Name="urn:mace:dir:attribute-def:manager" Header="Shib-InetOrgPerson-manager">
 235                 <AnySite>
 236             <AnyValue/>
 237         </AnySite>
 238         </AttributeRule>
 239
 240         <AttributeRule Name="urn:mace:dir:attribute-def:roomNumber" Header="Shib-InetOrgPerson-roomNum">
 241                 <AnySite>
 242             <AnyValue/>
 243         </AnySite>
 244         </AttributeRule>
 245
 246         <AttributeRule Name="urn:mace:dir:attribute-def:seeAlso" Header="Shib-OrgPerson-seeAlso">
 247                 <AnySite>
 248             <AnyValue/>
 249         </AnySite>
 250         </AttributeRule>
 251
 252         <AttributeRule Name="urn:mace:dir:attribute-def:facsimileTelephoneNumber" Header="Shib-OrgPerson-fax">
 253                 <AnySite>
 254             <AnyValue/>
 255         </AnySite>
 256         </AttributeRule>
 257
 258         <AttributeRule Name="urn:mace:dir:attribute-def:street" Header="Shib-OrgPerson-street">
 259                 <AnySite>
 260             <AnyValue/>
 261         </AnySite>
 262         </AttributeRule>
 263
 264         <AttributeRule Name="urn:mace:dir:attribute-def:postOfficeBox" Header="Shib-OrgPerson-POBox">
 265                 <AnySite>
 266             <AnyValue/>
 267         </AnySite>
 268         </AttributeRule>
 269
 270         <AttributeRule Name="urn:mace:dir:attribute-def:postalCode" Header="Shib-OrgPerson-postalCode">
 271                 <AnySite>
 272             <AnyValue/>
 273         </AnySite>
 274         </AttributeRule>
 275
 276         <AttributeRule Name="urn:mace:dir:attribute-def:st" Header="Shib-OrgPerson-state">
 277                 <AnySite>
 278             <AnyValue/>
 279         </AnySite>
 280         </AttributeRule>
 281
 282         <AttributeRule Name="urn:mace:dir:attribute-def:givenName" Header="Shib-InetOrgPerson-givenName">
 283                 <AnySite>
 284             <AnyValue/>
 285         </AnySite>
 286         </AttributeRule>
 287
 288         <AttributeRule Name="urn:mace:dir:attribute-def:l" Header="Shib-OrgPerson-locality">
 289                 <AnySite>
 290             <AnyValue/>
 291         </AnySite>
 292         </AttributeRule>
 293
 294         <AttributeRule Name="urn:mace:dir:attribute-def:businessCategory" Header="Shib-InetOrgPerson-businessCat">
 295                 <AnySite>
 296             <AnyValue/>
 297         </AnySite>
 298         </AttributeRule>
 299
 300         <AttributeRule Name="urn:mace:dir:attribute-def:ou" Header="Shib-OrgPerson-orgUnit">
 301                 <AnySite>
 302             <AnyValue/>
 303         </AnySite>
 304         </AttributeRule>
 305
 306         <AttributeRule Name="urn:mace:dir:attribute-def:physicalDeliveryOfficeName" Header="Shib-OrgPerson-OfficeName">
 307                 <AnySite>
 308             <AnyValue/>
 309         </AnySite>
 310         </AttributeRule>
 311
 312         -->
 313
 314 </AttributeAcceptancePolicy>