Informationen für Administratorinnen und Administratoren

Benutzerattribute

Übermittelte Attribute

Der CAS Server übermittelt nach der Validierung eines Benutzers eine Menge von Attributen an den angebundenen Client. Diese stehen dem von Ihnen angebunden Webdienst zu Verfügung. Das CAS wie auch das SAML Protokoll übermittelt einen Identifier des Benutzers, bei uns normalerweise die TU-ID. Das aktuelle CAS Protokoll sowie SAML 2.0 ermöglichen jedoch die Übermittelung weiterer Attribute. Unter anderem können Sie über diese Attribute Ihre Zugriffskontrolle umsetzen.

Diese Attribute müssen für jeden Dienst einzeln freigeschaltet werden, da z.B. Attribute wie die Matrikelnummer eines besonderen Schutzes bedürfen.

Attributsliste

cn TU-ID
givenname Vorname
surname Nachname
fullName Nachname, Vorname
tudUserUniqueID uid – numerische eindeutige ID eines Benutzers
tudMatrikel Matrikelnummer
groupMembership Gruppenzugehörigkeit (LDAP Format), Mehrfachbelegung
Hierzu gehören die T-Nummern bei Beschäftigten und die
Kundengruppen aus der Gruppenverwaltung der HRZ.
ou Organsiationszugehörigkeit, Mehrfachbelegung
Hierzu gehören die T-Nummern bei Beschäftigten und die Fachbereiche
bei Studierenden.
Beispiel: T102302, T1023, T10, FB17
mail primäre E-Mailadresse
telephoneNumber dienstliche Telefonnummer
eduPersonAffiliation TU-Zugehörigkeit, Mehrfachbelegung
employee, member = Beschäftigte/r der TU
employee, member, faculty = (Junior-)Professor/in
student, member = Student/in der TU
affiliate = Gäste und Partner der TU
faculty, affiliate = Lehrbeauftragte/r der TU
Bei Personen mit mehreren Verträgen werden die Werte aufsummiert. Daher ist zum Beispiel ist eine Professorin mit zusätzlichem Gastvertrag nicht von einem Beschäftigten mit Lehrauftrag (beides employee, member, faculty, affiliate) zu unterscheiden.
eduPersonScopedAffiliation TU-Zugehörigkeit mit dem Zusatz @tu-darmstadt.de

SAML1.1 Beispielantwort

<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
	<SOAP-ENV:Header />
	<SOAP-ENV:Body>
		<Response xmlns="urn:oasis:names:tc:SAML:1.0:protocol"
			xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol"
			xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
			IssueInstant="2010-02-22T12:30:53.272Z" MajorVersion="1"
			MinorVersion="1" Recipient="http://www.tu-darmstadt.de/app/"
			ResponseID="_5408c48dde2a07ae43fc1d99146cd36c">
			<Status>
				<StatusCode Value="samlp:Success">
				</StatusCode>
			</Status>
			<Assertion xmlns="urn:oasis:names:tc:SAML:1.0:assertion"
				AssertionID="_101abcdf10a1c1e8d35cd5bdbeaa574f" IssueInstant="2010-02-22T12:30:53.272Z"
				Issuer="localhost" MajorVersion="1" MinorVersion="1">
				<Conditions NotBefore="2010-02-22T12:30:53.272Z"
					NotOnOrAfter="2010-02-22T12:31:23.272Z">
					<AudienceRestrictionCondition>
						<Audience>http://www.tu-darmstadt.de/app/</Audience>
					</AudienceRestrictionCondition>
				</Conditions>
				<AttributeStatement>
					<Subject>
						<NameIdentifier>mm66evil</NameIdentifier>
						<SubjectConfirmation>
							<ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:artifact
							</ConfirmationMethod>
						</SubjectConfirmation>
					</Subject>
					<Attribute AttributeName="mail"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue>nomail@hrz.tu-darmstadt.de</AttributeValue>
					</Attribute>
					<Attribute AttributeName="__AUTHUSERCONTEXT__"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue>employee</AttributeValue>
					</Attribute>
					<Attribute AttributeName="cn"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue>mm66evil</AttributeValue>
					</Attribute>
					<Attribute AttributeName="__AUTHTYPE__"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue>TUDID</AttributeValue>
					</Attribute>
					<Attribute AttributeName="surname"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue>Fritschi</AttributeValue>
					</Attribute>
					<Attribute AttributeName="tudUserUniqueID"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue>123456789</AttributeValue>
					</Attribute>
					<Attribute AttributeName="givenName"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue>Max</AttributeValue>
					</Attribute>
					<Attribute AttributeName="tudMatrikel"
						AttributeNamespace="http://www.ja-sig.org/products/cas/">
						<AttributeValue></AttributeValue>
					</Attribute>
				</AttributeStatement>
				<AuthenticationStatement
					AuthenticationInstant="2010-02-22T12:30:53.053Z"
					AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:unspecified">
					<Subject>
						<NameIdentifier>mm66evil</NameIdentifier>
						<SubjectConfirmation>
							<ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:artifact
							</ConfirmationMethod>
						</SubjectConfirmation>
					</Subject>
				</AuthenticationStatement>
			</Assertion>
		</Response>
	</SOAP-ENV:Body>
</SOAP-ENV:Envelope>

CAS 2.0 Beispielantwort

<?xml version="1.0" encoding="UTF-8"?>
<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'>
  <cas:authenticationSuccess>
    <cas:user>mm66demo</cas:user>
    <cas:attributes>
      <cas:cn>mm66demo</cas:cn>
      <cas:surname>Mustermann</cas:surname>
      <cas:givenName>Max</cas:givenName>
      <cas:mail>nomail@hrz.tu-darmstadt.de</cas:mail>
      <cas:tudUserUniqueID>123456789</cas:tudUserUniqueID>
      <cas:tudMatrikel></cas:tudMatrikel>
      <cas:__AUTHUSERCONTEXT__>employee</cas:__AUTHUSERCONTEXT__>
      <cas:__AUTHTYPE__>TUID</cas:__AUTHTYPE__>
      </cas:attributes>
  </cas:authenticationSuccess>
</cas:serviceResponse>