IdP隐私保护配置（手动第7/9步）

用户登录页面添加/取消隐私保护功能

用户登录，输入用户名密码后，可允许用户参与个人隐私保护和属性释放过程，包括“隐私保护须知”页面和“属性释放选择”页面。如开放给用户，需进行如下配置。如无需添加用户隐私保护功能，可跳过此步骤。

配置用户是否可见隐私保护须知页面，包括三个配置文件：messages.properties、consent-intercept-config.xml、relying-party.xml。配置过程如下：

配置/opt/shibboleth-idp/messages/messages.properties文件：

#提示用户隐私保护须知。不配置以下参数，该须知用户不可见。
my-terms = my-tou
my-tou.title = Example Terms of Use
my-tou.text = This is an example Terms of Use

配置/opt/shibboleth-idp/conf/intercept/consent-intercept-config.xml文件

#注释
<alias alias="shibboleth.consent.terms-of-use.Key" name="shibboleth.RelyingPartyIdLookup.Simple" />    

#添加
<bean id="shibboleth.consent.terms-of-use.Key" class="com.google.common.base.Functions" factory-method="constant">
<constructor-arg value="my-terms"/>
</bean>

配置/opt/shibboleth-idp/conf/relying-party.xml文件

<bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release"/>
#替换成
<bean parent="SAML2.SSO" p:postAuthenticationFlows="#{ {'terms-of-use', 'attribute-release'} }" />

配置用户是否可见属性释放选择页面（默认是可见的），如果要关闭，配置/opt/shibboleth-idp/conf/relying-party.xml文件

<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
<bean parent="SAML2.SSO" p:postAuthenticationFlows="#{ {'terms-of-use', 'attribute-release'} }" />

#替换成

<bean parent="Shibboleth.SSO" />
<bean parent="SAML2.SSO" />

在用户可见属性释放选择页面的前提下，可以配置用户是否可以选择释放哪个属性

[root@www ~]# vi /opt/shibboleth-idp/conf/idp.properties
#true：用户可见释放属性页面；false或者注释掉该行：用户不可见属性释放页面。
idp.consent.allowPerAttribute=true