configs/AAP.xml.in

   1 <AttributeAcceptancePolicy xmlns="urn:mace:shibboleth:1.0"
   2     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   3     xsi:schemaLocation="urn:mace:shibboleth:1.0 @-PKGXMLDIR-@/shibboleth.xsd">
   4
   5         <!--
   6         An AAP is a set of AttributeRule elements, each one
   7         referencing a specific attribute by URI. All attributes that
   8         should be visible to an application running at the target should
   9         be listed, or they will be filtered out.
  10
  11         The Header and Alias attributes map an attribute to an HTTP header
  12         and to an htaccess rule name respectively. Without Header, the attribute
  13         will only be obtainable from the exported SAML assertion in raw XML.
  14
  15         Scoped attributes are also filtered on Scope via the Domain elements
  16         in the site metadata.
  17         -->
  18
  19         <!-- First some useful eduPerson attributes that many sites might use. -->
  20
  21         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" Scoped="true" CaseSensitive="false" Header="Shib-EP-Affiliation" Alias="affiliation">
  22                 <!-- Filtering rule to limit values to eduPerson-defined enumeration. -->
  23         <AnySite>
  24             <Value>MEMBER</Value>
  25             <Value>FACULTY</Value>
  26             <Value>STUDENT</Value>
  27             <Value>STAFF</Value>
  28             <Value>ALUM</Value>
  29             <Value>AFFILIATE</Value>
  30             <Value>EMPLOYEE</Value>
  31         </AnySite>
  32
  33         <!-- Example of Scope rule to override site metadata. -->
  34         <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  35                 <Scope Accept="false">shibdev.edu</Scope>
  36                 <Scope Type="regexp">^.+\.shibdev\.edu$</Scope>
  37         </SiteRule>
  38         </AttributeRule>
  39
  40         <!--
  41         This attribute is provided mostly to ease testing because an IdP out of the box only
  42         sends the unscoped version. It has little use because it lacks the context needed to
  43         work in a multi-domain scenario and is a subset of the scoped version anyway.
  44          -->
  45         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonAffiliation" CaseSensitive="false" Header="Shib-EP-UnscopedAffiliation" Alias="unscoped-affiliation">
  46         <AnySite>
  47             <Value>MEMBER</Value>
  48             <Value>FACULTY</Value>
  49             <Value>STUDENT</Value>
  50             <Value>STAFF</Value>
  51             <Value>ALUM</Value>
  52             <Value>AFFILIATE</Value>
  53             <Value>EMPLOYEE</Value>
  54         </AnySite>
  55         </AttributeRule>
  56
  57     <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrincipalName" Scoped="true" Header="REMOTE_USER" Alias="user">
  58                 <!-- Basic rule to pass through any value. -->
  59         <AnySite>
  60             <Value Type="regexp">^[^@]+$</Value>
  61         </AnySite>
  62     </AttributeRule>
  63
  64         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonEntitlement" Header="Shib-EP-Entitlement" Alias="entitlement">
  65                 <!-- Entitlements tend to be filtered per-site. -->
  66
  67                 <!--
  68                 Optional site rule that applies to any site
  69                 <AnySite>
  70                         <Value>urn:mace:example.edu:exampleEntitlement</Value>
  71                 </AnySite>
  72                 -->
  73
  74                 <!-- Specific rules for an origin site, these are just development/sample sites. -->
  75                 <SiteRule Name="urn:mace:inqueue:example.edu">
  76                         <Value Type="regexp">^urn:mace:.+$</Value>
  77                 </SiteRule>
  78                 <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  79                         <Value Type="regexp">^urn:mace:.+$</Value>
  80                 </SiteRule>
  81         </AttributeRule>
  82
  83         <!-- A persistent id attribute that supports personalized anonymous access. -->
  84
  85         <!-- First, the deprecated version: -->
  86         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonTargetedID" Scoped="true" Header="Shib-TargetedID" Alias="targeted_id">
  87         <AnySite>
  88             <AnyValue/>
  89         </AnySite>
  90         </AttributeRule>
  91
  92         <!-- Second, the new version: -->
  93         <AttributeRule Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" Header="Shib-TargetedID" Alias="targeted_id">
  94         <AnySite>
  95             <AnyValue/>
  96         </AnySite>
  97         </AttributeRule>
  98
  99         <!-- Some more eduPerson attributes, uncomment these to use them... -->
 100         <!--
 101
 102         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonNickname">
 103         <AnySite>
 104             <AnyValue/>
 105         </AnySite>
 106         </AttributeRule>
 107
 108         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation" CaseSensitive="false" Header="Shib-EP-PrimaryAffiliation">
 109         <AnySite>
 110             <Value>MEMBER</Value>
 111             <Value>FACULTY</Value>
 112             <Value>STUDENT</Value>
 113             <Value>STAFF</Value>
 114             <Value>ALUM</Value>
 115             <Value>AFFILIATE</Value>
 116             <Value>EMPLOYEE</Value>
 117         </AnySite>
 118         </AttributeRule>
 119
 120         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN" Header="Shib-EP-PrimaryOrgUnitDN">
 121         <AnySite>
 122             <AnyValue/>
 123         </AnySite>
 124         </AttributeRule>
 125
 126         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgUnitDN" Header="Shib-EP-OrgUnitDN">
 127         <AnySite>
 128             <AnyValue/>
 129         </AnySite>
 130         </AttributeRule>
 131
 132         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgDN" Header="Shib-EP-OrgDN">
 133         <AnySite>
 134             <AnyValue/>
 135         </AnySite>
 136         </AttributeRule>
 137
 138         -->
 139
 140
 141         <!--Examples of common LDAP-based attributes, uncomment to use these... -->
 142         <!--
 143
 144         <AttributeRule Name="urn:mace:dir:attribute-def:cn" Header="Shib-Person-commonName">
 145                 <AnySite>
 146             <AnyValue/>
 147         </AnySite>
 148         </AttributeRule>
 149
 150         <AttributeRule Name="urn:mace:dir:attribute-def:sn" Header="Shib-Person-surname">
 151                 <AnySite>
 152             <AnyValue/>
 153         </AnySite>
 154         </AttributeRule>
 155
 156         <AttributeRule Name="urn:mace:dir:attribute-def:telephoneNumber" Header="Shib-Person-telephoneNumber">
 157                 <AnySite>
 158             <AnyValue/>
 159         </AnySite>
 160         </AttributeRule>
 161
 162         <AttributeRule Name="urn:mace:dir:attribute-def:title" Header="Shib-OrgPerson-title">
 163                 <AnySite>
 164             <AnyValue/>
 165         </AnySite>
 166         </AttributeRule>
 167
 168         <AttributeRule Name="urn:mace:dir:attribute-def:initials" Header="Shib-InetOrgPerson-initials">
 169                 <AnySite>
 170             <AnyValue/>
 171         </AnySite>
 172         </AttributeRule>
 173
 174         <AttributeRule Name="urn:mace:dir:attribute-def:description" Header="Shib-Person-description">
 175                 <AnySite>
 176             <AnyValue/>
 177         </AnySite>
 178         </AttributeRule>
 179
 180         <AttributeRule Name="urn:mace:dir:attribute-def:carLicense" Header="Shib-InetOrgPerson-carLicense">
 181                 <AnySite>
 182             <AnyValue/>
 183         </AnySite>
 184         </AttributeRule>
 185
 186         <AttributeRule Name="urn:mace:dir:attribute-def:departmentNumber" Header="Shib-InetOrgPerson-deptNum">
 187                 <AnySite>
 188             <AnyValue/>
 189         </AnySite>
 190         </AttributeRule>
 191
 192         <AttributeRule Name="urn:mace:dir:attribute-def:displayName" Header="Shib-InetOrgPerson-displayName">
 193                 <AnySite>
 194             <AnyValue/>
 195         </AnySite>
 196         </AttributeRule>
 197
 198         <AttributeRule Name="urn:mace:dir:attribute-def:employeeNumber" Header="Shib-InetOrgPerson-employeeNum">
 199                 <AnySite>
 200             <AnyValue/>
 201         </AnySite>
 202         </AttributeRule>
 203
 204         <AttributeRule Name="urn:mace:dir:attribute-def:employeeType" Header="Shib-InetOrgPerson-employeeType">
 205                 <AnySite>
 206             <AnyValue/>
 207         </AnySite>
 208         </AttributeRule>
 209
 210         <AttributeRule Name="urn:mace:dir:attribute-def:preferredLanguage" Header="Shib-InetOrgPerson-prefLang">
 211                 <AnySite>
 212             <AnyValue/>
 213         </AnySite>
 214         </AttributeRule>
 215
 216         <AttributeRule Name="urn:mace:dir:attribute-def:manager" Header="Shib-InetOrgPerson-manager">
 217                 <AnySite>
 218             <AnyValue/>
 219         </AnySite>
 220         </AttributeRule>
 221
 222         <AttributeRule Name="urn:mace:dir:attribute-def:roomNumber" Header="Shib-InetOrgPerson-roomNum">
 223                 <AnySite>
 224             <AnyValue/>
 225         </AnySite>
 226         </AttributeRule>
 227
 228         <AttributeRule Name="urn:mace:dir:attribute-def:seeAlso" Header="Shib-OrgPerson-seeAlso">
 229                 <AnySite>
 230             <AnyValue/>
 231         </AnySite>
 232         </AttributeRule>
 233
 234         <AttributeRule Name="urn:mace:dir:attribute-def:facsimileTelephoneNumber" Header="Shib-OrgPerson-fax">
 235                 <AnySite>
 236             <AnyValue/>
 237         </AnySite>
 238         </AttributeRule>
 239
 240         <AttributeRule Name="urn:mace:dir:attribute-def:street" Header="Shib-OrgPerson-street">
 241                 <AnySite>
 242             <AnyValue/>
 243         </AnySite>
 244         </AttributeRule>
 245
 246         <AttributeRule Name="urn:mace:dir:attribute-def:postOfficeBox" Header="Shib-OrgPerson-POBox">
 247                 <AnySite>
 248             <AnyValue/>
 249         </AnySite>
 250         </AttributeRule>
 251
 252         <AttributeRule Name="urn:mace:dir:attribute-def:postalCode" Header="Shib-OrgPerson-postalCode">
 253                 <AnySite>
 254             <AnyValue/>
 255         </AnySite>
 256         </AttributeRule>
 257
 258         <AttributeRule Name="urn:mace:dir:attribute-def:st" Header="Shib-OrgPerson-state">
 259                 <AnySite>
 260             <AnyValue/>
 261         </AnySite>
 262         </AttributeRule>
 263
 264         <AttributeRule Name="urn:mace:dir:attribute-def:givenName" Header="Shib-InetOrgPerson-givenName">
 265                 <AnySite>
 266             <AnyValue/>
 267         </AnySite>
 268         </AttributeRule>
 269
 270         <AttributeRule Name="urn:mace:dir:attribute-def:l" Header="Shib-OrgPerson-locality">
 271                 <AnySite>
 272             <AnyValue/>
 273         </AnySite>
 274         </AttributeRule>
 275
 276         <AttributeRule Name="urn:mace:dir:attribute-def:businessCategory" Header="Shib-InetOrgPerson-businessCat">
 277                 <AnySite>
 278             <AnyValue/>
 279         </AnySite>
 280         </AttributeRule>
 281
 282         <AttributeRule Name="urn:mace:dir:attribute-def:ou" Header="Shib-OrgPerson-orgUnit">
 283                 <AnySite>
 284             <AnyValue/>
 285         </AnySite>
 286         </AttributeRule>
 287
 288         <AttributeRule Name="urn:mace:dir:attribute-def:physicalDeliveryOfficeName" Header="Shib-OrgPerson-OfficeName">
 289                 <AnySite>
 290             <AnyValue/>
 291         </AnySite>
 292         </AttributeRule>
 293
 294         -->
 295
 296 </AttributeAcceptancePolicy>