IdP隐私保护配置(手动第7/9步)

用户登录页面添加/取消隐私保护功能

        用户登录,输入用户名密码后,可允许用户参与个人隐私保护和属性释放过程,包括“隐私保护须知”页面和“属性释放选择”页面。如开放给用户,需进行如下配置。如无需添加用户隐私保护功能,可跳过此步骤。

        配置用户是否可见隐私保护须知页面,包括三个配置文件:messages.properties、consent-intercept-config.xml、relying-party.xml。配置过程如下:

  • 配置/opt/shibboleth-idp/messages/messages.properties文件:
#提示用户隐私保护须知。不配置以下参数,该须知用户不可见。
my-terms = my-tou
my-tou.title = Example Terms of Use
my-tou.text = This is an example Terms of Use
  • 配置/opt/shibboleth-idp/conf/intercept/consent-intercept-config.xml文件
#注释
<alias alias="shibboleth.consent.terms-of-use.Key" name="shibboleth.RelyingPartyIdLookup.Simple" />    

#添加
<bean id="shibboleth.consent.terms-of-use.Key" class="com.google.common.base.Functions" factory-method="constant">
<constructor-arg value="my-terms"/>
</bean>
  • 配置/opt/shibboleth-idp/conf/relying-party.xml文件
<bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release"/>
#替换成
<bean parent="SAML2.SSO" p:postAuthenticationFlows="#{ {'terms-of-use', 'attribute-release'} }" />

        配置用户是否可见属性释放选择页面(默认是可见的),如果要关闭,配置/opt/shibboleth-idp/conf/relying-party.xml文件

<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
<bean parent="SAML2.SSO" p:postAuthenticationFlows="#{ {'terms-of-use', 'attribute-release'} }" />

#替换成

<bean parent="Shibboleth.SSO" />
<bean parent="SAML2.SSO" />
  • 在用户可见属性释放选择页面的前提下,可以配置用户是否可以选择释放哪个属性
[root@www ~]# vi /opt/shibboleth-idp/conf/idp.properties
#true:用户可见释放属性页面;false或者注释掉该行:用户不可见属性释放页面。
idp.consent.allowPerAttribute=true

版权所有©北京大学计算中心