configs/AAP.xml

   1 <AttributeAcceptancePolicy xmlns="urn:mace:shibboleth:1.0">
   2
   3         <!--
   4         An AAP is a set of AttributeRule elements, each one
   5         referencing a specific attribute by URI. All attributes that
   6         should be visible to an application running at the target should
   7         be listed, or they will be filtered out.
   8
   9         The Header and Alias attributes map an attribute to an HTTP header
  10         and to an htaccess rule name respectively. Without Header, the attribute
  11         will only be obtainable from the exported SAML assertion in raw XML.
  12
  13         Scoped attributes are also filtered on Scope via the Domain elements
  14         in the site metadata.
  15         -->
  16
  17         <!-- First some useful eduPerson attributes that many sites might use. -->
  18
  19         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" Scoped="true" Header="Shib-EP-Affiliation" Alias="affiliation">
  20                 <!-- Filtering rule to limit values to eduPerson-defined enumeration. -->
  21         <AnySite>
  22             <Value Type="regexp">^[M|m][E|e][M|m][B|b][E|e][R|r]$</Value>
  23             <Value Type="regexp">^[F|f][A|a][C|c][U|u][L|l][T|t][Y|y]$</Value>
  24             <Value Type="regexp">^[S|s][T|t][U|u][D|d][E|e][N|n][T|t]$</Value>
  25             <Value Type="regexp">^[S|s][T|t][A|a][F|f][F|f]$</Value>
  26             <Value Type="regexp">^[A|a][L|l][U|u][M|m]$</Value>
  27             <Value Type="regexp">^[A|a][F|f][F|f][I|i][L|l][I|i][A|a][T|t][E|e]$</Value>
  28             <Value Type="regexp">^[E|e][M|m][P|p][L|l][O|o][Y|y][E|e][E|e]$</Value>
  29         </AnySite>
  30
  31         <!-- Example of Scope rule to override site metadata. -->
  32         <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  33                 <Scope Accept="false">shibdev.edu</Scope>
  34                 <Scope Type="regexp">^.+\.shibdev\.edu$</Scope>
  35         </SiteRule>
  36         </AttributeRule>
  37
  38         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonAffiliation" Header="Shib-EP-UnscopedAffiliation" Alias="unscoped-affiliation">
  39         <AnySite>
  40             <Value Type="regexp">^[M|m][E|e][M|m][B|b][E|e][R|r]$</Value>
  41             <Value Type="regexp">^[F|f][A|a][C|c][U|u][L|l][T|t][Y|y]$</Value>
  42             <Value Type="regexp">^[S|s][T|t][U|u][D|d][E|e][N|n][T|t]$</Value>
  43             <Value Type="regexp">^[S|s][T|t][A|a][F|f][F|f]$</Value>
  44             <Value Type="regexp">^[A|a][L|l][U|u][M|m]$</Value>
  45             <Value Type="regexp">^[A|a][F|f][F|f][I|i][L|l][I|i][A|a][T|t][E|e]$</Value>
  46             <Value Type="regexp">^[E|e][M|m][P|p][L|l][O|o][Y|y][E|e][E|e]$</Value>
  47         </AnySite>
  48         </AttributeRule>
  49
  50     <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrincipalName" Scoped="true" Header="REMOTE_USER" Alias="user">
  51                 <!-- Basic rule to pass through any value. -->
  52         <AnySite>
  53             <Value Type="regexp">^[^@]+$</Value>
  54         </AnySite>
  55     </AttributeRule>
  56
  57         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonEntitlement" Header="Shib-EP-Entitlement" Alias="entitlement">
  58                 <!-- Entitlements tend to be filtered per-site. -->
  59
  60                 <!--
  61                 Optional site rule that applies to any site
  62                 <AnySite>
  63                         <Value>urn:mace:example.edu:exampleEntitlement</Value>
  64                 </AnySite>
  65                 -->
  66
  67                 <!-- Specific rules for an origin site, these are just development/sample sites. -->
  68                 <SiteRule Name="urn:mace:inqueue:example.edu">
  69                         <Value Type="regexp">^urn:mace:.+$</Value>
  70                 </SiteRule>
  71                 <SiteRule Name="urn:mace:inqueue:shibdev.edu">
  72                         <Value Type="regexp">^urn:mace:.+$</Value>
  73                 </SiteRule>
  74         </AttributeRule>
  75
  76         <!-- A persistent id attribute that supports personalized anonymous access. -->
  77         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonTargetedID" Header="Shib-TargetedID" Alias="targeted_id">
  78         <AnySite>
  79             <AnyValue/>
  80         </AnySite>
  81         </AttributeRule>
  82
  83         <!-- Some more eduPerson attributes, uncomment these to use them... -->
  84         <!--
  85
  86         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonNickname">
  87         <AnySite>
  88             <AnyValue/>
  89         </AnySite>
  90         </AttributeRule>
  91
  92         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation" Header="Shib-EP-PrimaryAffiliation">
  93         <AnySite>
  94             <Value Type="regexp">^[M|m][E|e][M|m][B|b][E|e][R|r]$</Value>
  95             <Value Type="regexp">^[F|f][A|a][C|c][U|u][L|l][T|t][Y|y]$</Value>
  96             <Value Type="regexp">^[S|s][T|t][U|u][D|d][E|e][N|n][T|t]$</Value>
  97             <Value Type="regexp">^[S|s][T|t][A|a][F|f][F|f]$</Value>
  98             <Value Type="regexp">^[A|a][L|l][U|u][M|m]$</Value>
  99             <Value Type="regexp">^[A|a][F|f][F|f][I|i][L|l][I|i][A|a][T|t][E|e]$</Value>
 100             <Value Type="regexp">^[E|e][M|m][P|p][L|l][O|o][Y|y][E|e][E|e]$</Value>
 101         </AnySite>
 102         </AttributeRule>
 103
 104         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN" Header="Shib-EP-PrimaryOrgUnitDN">
 105         <AnySite>
 106             <AnyValue/>
 107         </AnySite>
 108         </AttributeRule>
 109
 110         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgUnitDN" Header="Shib-EP-OrgUnitDN">
 111         <AnySite>
 112             <AnyValue/>
 113         </AnySite>
 114         </AttributeRule>
 115
 116         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgDN" Header="Shib-EP-OrgDN">
 117         <AnySite>
 118             <AnyValue/>
 119         </AnySite>
 120         </AttributeRule>
 121
 122         -->
 123
 124
 125         <!--Examples of common LDAP-based attributes, uncomment to use these... -->
 126         <!--
 127
 128         <AttributeRule Name="urn:mace:dir:attribute-def:cn" Header="Shib-Person-commonName">
 129                 <AnySite>
 130             <AnyValue/>
 131         </AnySite>
 132         </AttributeRule>
 133
 134         <AttributeRule Name="urn:mace:dir:attribute-def:sn" Header="Shib-Person-surname">
 135                 <AnySite>
 136             <AnyValue/>
 137         </AnySite>
 138         </AttributeRule>
 139
 140         <AttributeRule Name="urn:mace:dir:attribute-def:telephoneNumber" Header="Shib-Person-telephoneNumber">
 141                 <AnySite>
 142             <AnyValue/>
 143         </AnySite>
 144         </AttributeRule>
 145
 146         <AttributeRule Name="urn:mace:dir:attribute-def:title" Header="Shib-OrgPerson-title">
 147                 <AnySite>
 148             <AnyValue/>
 149         </AnySite>
 150         </AttributeRule>
 151
 152         <AttributeRule Name="urn:mace:dir:attribute-def:initials" Header="Shib-InetOrgPerson-initials">
 153                 <AnySite>
 154             <AnyValue/>
 155         </AnySite>
 156         </AttributeRule>
 157
 158         <AttributeRule Name="urn:mace:dir:attribute-def:description" Header="Shib-Person-description">
 159                 <AnySite>
 160             <AnyValue/>
 161         </AnySite>
 162         </AttributeRule>
 163
 164         <AttributeRule Name="urn:mace:dir:attribute-def:carLicense" Header="Shib-InetOrgPerson-carLicense">
 165                 <AnySite>
 166             <AnyValue/>
 167         </AnySite>
 168         </AttributeRule>
 169
 170         <AttributeRule Name="urn:mace:dir:attribute-def:departmentNumber" Header="Shib-InetOrgPerson-deptNum">
 171                 <AnySite>
 172             <AnyValue/>
 173         </AnySite>
 174         </AttributeRule>
 175
 176         <AttributeRule Name="urn:mace:dir:attribute-def:displayName" Header="Shib-InetOrgPerson-displayName">
 177                 <AnySite>
 178             <AnyValue/>
 179         </AnySite>
 180         </AttributeRule>
 181
 182         <AttributeRule Name="urn:mace:dir:attribute-def:employeeNumber" Header="Shib-InetOrgPerson-employeeNum">
 183                 <AnySite>
 184             <AnyValue/>
 185         </AnySite>
 186         </AttributeRule>
 187
 188         <AttributeRule Name="urn:mace:dir:attribute-def:employeeType" Header="Shib-InetOrgPerson-employeeType">
 189                 <AnySite>
 190             <AnyValue/>
 191         </AnySite>
 192         </AttributeRule>
 193
 194         <AttributeRule Name="urn:mace:dir:attribute-def:preferredLanguage" Header="Shib-InetOrgPerson-prefLang">
 195                 <AnySite>
 196             <AnyValue/>
 197         </AnySite>
 198         </AttributeRule>
 199
 200         <AttributeRule Name="urn:mace:dir:attribute-def:manager" Header="Shib-InetOrgPerson-manager">
 201                 <AnySite>
 202             <AnyValue/>
 203         </AnySite>
 204         </AttributeRule>
 205
 206         <AttributeRule Name="urn:mace:dir:attribute-def:roomNumber" Header="Shib-InetOrgPerson-roomNum">
 207                 <AnySite>
 208             <AnyValue/>
 209         </AnySite>
 210         </AttributeRule>
 211
 212         <AttributeRule Name="urn:mace:dir:attribute-def:seeAlso" Header="Shib-OrgPerson-seeAlso">
 213                 <AnySite>
 214             <AnyValue/>
 215         </AnySite>
 216         </AttributeRule>
 217
 218         <AttributeRule Name="urn:mace:dir:attribute-def:facsimileTelephoneNumber" Header="Shib-OrgPerson-fax">
 219                 <AnySite>
 220             <AnyValue/>
 221         </AnySite>
 222         </AttributeRule>
 223
 224         <AttributeRule Name="urn:mace:dir:attribute-def:street" Header="Shib-OrgPerson-street">
 225                 <AnySite>
 226             <AnyValue/>
 227         </AnySite>
 228         </AttributeRule>
 229
 230         <AttributeRule Name="urn:mace:dir:attribute-def:postOfficeBox" Header="Shib-OrgPerson-POBox">
 231                 <AnySite>
 232             <AnyValue/>
 233         </AnySite>
 234         </AttributeRule>
 235
 236         <AttributeRule Name="urn:mace:dir:attribute-def:postalCode" Header="Shib-OrgPerson-postalCode">
 237                 <AnySite>
 238             <AnyValue/>
 239         </AnySite>
 240         </AttributeRule>
 241
 242         <AttributeRule Name="urn:mace:dir:attribute-def:st" Header="Shib-OrgPerson-state">
 243                 <AnySite>
 244             <AnyValue/>
 245         </AnySite>
 246         </AttributeRule>
 247
 248         <AttributeRule Name="urn:mace:dir:attribute-def:givenName" Header="Shib-InetOrgPerson-givenName">
 249                 <AnySite>
 250             <AnyValue/>
 251         </AnySite>
 252         </AttributeRule>
 253
 254         <AttributeRule Name="urn:mace:dir:attribute-def:l" Header="Shib-OrgPerson-locality">
 255                 <AnySite>
 256             <AnyValue/>
 257         </AnySite>
 258         </AttributeRule>
 259
 260         <AttributeRule Name="urn:mace:dir:attribute-def:businessCategory" Header="Shib-InetOrgPerson-businessCat">
 261                 <AnySite>
 262             <AnyValue/>
 263         </AnySite>
 264         </AttributeRule>
 265
 266         <AttributeRule Name="urn:mace:dir:attribute-def:ou" Header="Shib-OrgPerson-orgUnit">
 267                 <AnySite>
 268             <AnyValue/>
 269         </AnySite>
 270         </AttributeRule>
 271
 272         <AttributeRule Name="urn:mace:dir:attribute-def:physicalDeliveryOfficeName" Header="Shib-OrgPerson-OfficeName">
 273                 <AnySite>
 274             <AnyValue/>
 275         </AnySite>
 276         </AttributeRule>
 277
 278         -->
 279
 280 </AttributeAcceptancePolicy>