Small enhancement to the scriptable attribute definition. Cleaner checking of script...
[java-idp.git] / testresources / basicSpHome / AAP.xml
1 <AttributeAcceptancePolicy xmlns="urn:mace:shibboleth:1.0"
2     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
3     xsi:schemaLocation="urn:mace:shibboleth:1.0 ../../src/schemas/shibboleth.xsd">
4
5         <!--
6         An AAP is a set of AttributeRule elements, each one
7         referencing a specific attribute by URI. All attributes that
8         should be visible to an application running at the target should
9         be listed, or they will be filtered out.
10         
11         The Header and Alias attributes map an attribute to an HTTP header
12         and to an htaccess rule name respectively. Without Header, the attribute
13         will only be obtainable from the exported SAML assertion in raw XML.
14         
15         Scoped attributes are also filtered on Scope via the Domain elements
16         in the site metadata.
17         -->
18         
19         <!-- First some useful eduPerson attributes that many sites might use. -->
20         
21         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" Scoped="true" CaseSensitive="false" Header="Shib-EP-Affiliation" Alias="affiliation">
22                 <!-- Filtering rule to limit values to eduPerson-defined enumeration. -->
23         <AnySite>
24             <Value>MEMBER</Value>
25             <Value>FACULTY</Value>
26             <Value>STUDENT</Value>
27             <Value>STAFF</Value>
28             <Value>ALUM</Value>
29             <Value>AFFILIATE</Value>
30             <Value>EMPLOYEE</Value>
31         </AnySite>
32         
33         <!-- Example of Scope rule to override site metadata. -->
34         <SiteRule Name="urn:mace:inqueue:shibdev.edu">
35                 <Scope Accept="false">shibdev.edu</Scope>
36                 <Scope Type="regexp">^.+\.shibdev\.edu$</Scope>
37         </SiteRule>
38         </AttributeRule>
39
40         <!--
41         This attribute is provided mostly to ease testing because an IdP out of the box only
42         sends the unscoped version. It has little use because it lacks the context needed to
43         work in a multi-domain scenario and is a subset of the scoped version anyway.
44          -->
45         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonAffiliation" CaseSensitive="false" Header="Shib-EP-UnscopedAffiliation" Alias="unscoped-affiliation">
46         <AnySite>
47             <Value>MEMBER</Value>
48             <Value>FACULTY</Value>
49             <Value>STUDENT</Value>
50             <Value>STAFF</Value>
51             <Value>ALUM</Value>
52             <Value>AFFILIATE</Value>
53             <Value>EMPLOYEE</Value>
54         </AnySite>
55         </AttributeRule>
56         
57     <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrincipalName" Scoped="true" Header="REMOTE_USER" Alias="user">
58                 <!-- Basic rule to pass through any value. -->
59         <AnySite>
60             <Value Type="regexp">^[^@]+$</Value>
61         </AnySite>
62     </AttributeRule>
63
64         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonEntitlement" Header="Shib-EP-Entitlement" Alias="entitlement">
65                 <!-- Entitlements tend to be filtered per-site. -->
66                 
67                 <!--
68                 Optional site rule that applies to any site
69                 <AnySite>
70                         <Value>urn:mace:example.edu:exampleEntitlement</Value>
71                 </AnySite>
72                 -->
73                 
74                 <!-- Specific rules for an origin site, these are just development/sample sites. -->
75                 <SiteRule Name="urn:mace:inqueue:example.edu">
76                         <Value Type="regexp">^urn:mace:.+$</Value>
77                 </SiteRule>
78                 <SiteRule Name="urn:mace:inqueue:shibdev.edu">
79                         <Value Type="regexp">^urn:mace:.+$</Value>
80                 </SiteRule>
81         </AttributeRule>
82
83         <!-- A persistent id attribute that supports personalized anonymous access. -->
84         
85         <!-- First, the deprecated version: -->
86         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonTargetedID" Scoped="true" Header="Shib-TargetedID" Alias="targeted_id">
87         <AnySite>
88             <AnyValue/>
89         </AnySite>
90         </AttributeRule>
91
92         <!-- Second, the new version: -->
93         <AttributeRule Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" Header="Shib-TargetedID" Alias="targeted_id">
94         <AnySite>
95             <AnyValue/>
96         </AnySite>
97         </AttributeRule>
98         
99         <!-- Some more eduPerson attributes, uncomment these to use them... -->
100         
101         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonNickname">
102         <AnySite>
103             <AnyValue/>
104         </AnySite>
105         </AttributeRule>
106
107         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation" CaseSensitive="false" Header="Shib-EP-PrimaryAffiliation">
108         <AnySite>
109             <Value>MEMBER</Value>
110             <Value>FACULTY</Value>
111             <Value>STUDENT</Value>
112             <Value>STAFF</Value>
113             <Value>ALUM</Value>
114             <Value>AFFILIATE</Value>
115             <Value>EMPLOYEE</Value>
116         </AnySite>
117         </AttributeRule>
118         
119         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN" Header="Shib-EP-PrimaryOrgUnitDN">
120         <AnySite>
121             <AnyValue/>
122         </AnySite>
123         </AttributeRule>
124         
125         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgUnitDN" Header="Shib-EP-OrgUnitDN">
126         <AnySite>
127             <AnyValue/>
128         </AnySite>
129         </AttributeRule>
130         
131         <AttributeRule Name="urn:mace:dir:attribute-def:eduPersonOrgDN" Header="Shib-EP-OrgDN">
132         <AnySite>
133             <AnyValue/>
134         </AnySite>
135         </AttributeRule>
136
137
138
139         <!--Examples of common LDAP-based attributes, uncomment to use these... -->
140         
141         <AttributeRule Name="urn:mace:dir:attribute-def:cn" Header="Shib-Person-commonName">
142                 <AnySite>
143             <AnyValue/>
144         </AnySite>
145         </AttributeRule>
146         
147         <AttributeRule Name="urn:mace:dir:attribute-def:sn" Header="Shib-Person-surname">
148                 <AnySite>
149             <AnyValue/>
150         </AnySite>
151         </AttributeRule>
152         
153         <AttributeRule Name="urn:mace:dir:attribute-def:surname" Header="Shib-Person-surname">
154                 <AnySite>
155             <AnyValue/>
156         </AnySite>
157         </AttributeRule>
158                 
159         <AttributeRule Name="urn:mace:dir:attribute-def:telephoneNumber" Header="Shib-Person-telephoneNumber">
160                 <AnySite>
161             <AnyValue/>
162         </AnySite>
163         </AttributeRule>
164         
165         <AttributeRule Name="urn:mace:dir:attribute-def:title" Header="Shib-OrgPerson-title">
166                 <AnySite>
167             <AnyValue/>
168         </AnySite>
169         </AttributeRule>
170         
171         <AttributeRule Name="urn:mace:dir:attribute-def:initials" Header="Shib-InetOrgPerson-initials">
172                 <AnySite>
173             <AnyValue/>
174         </AnySite>
175         </AttributeRule>
176         
177         <AttributeRule Name="urn:mace:dir:attribute-def:description" Header="Shib-Person-description">
178                 <AnySite>
179             <AnyValue/>
180         </AnySite>
181         </AttributeRule>
182         
183         <AttributeRule Name="urn:mace:dir:attribute-def:carLicense" Header="Shib-InetOrgPerson-carLicense">
184                 <AnySite>
185             <AnyValue/>
186         </AnySite>
187         </AttributeRule>
188         
189         <AttributeRule Name="urn:mace:dir:attribute-def:departmentNumber" Header="Shib-InetOrgPerson-deptNum">
190                 <AnySite>
191             <AnyValue/>
192         </AnySite>
193         </AttributeRule>
194         
195         <AttributeRule Name="urn:mace:dir:attribute-def:displayName" Header="Shib-InetOrgPerson-displayName">
196                 <AnySite>
197             <AnyValue/>
198         </AnySite>
199         </AttributeRule>
200         
201         <AttributeRule Name="urn:mace:dir:attribute-def:employeeNumber" Header="Shib-InetOrgPerson-employeeNum">
202                 <AnySite>
203             <AnyValue/>
204         </AnySite>
205         </AttributeRule>
206         
207         <AttributeRule Name="urn:mace:dir:attribute-def:employeeType" Header="Shib-InetOrgPerson-employeeType">
208                 <AnySite>
209             <AnyValue/>
210         </AnySite>
211         </AttributeRule>
212         
213         <AttributeRule Name="urn:mace:dir:attribute-def:preferredLanguage" Header="Shib-InetOrgPerson-prefLang">
214                 <AnySite>
215             <AnyValue/>
216         </AnySite>
217         </AttributeRule>
218         
219         <AttributeRule Name="urn:mace:dir:attribute-def:manager" Header="Shib-InetOrgPerson-manager">
220                 <AnySite>
221             <AnyValue/>
222         </AnySite>
223         </AttributeRule>
224         
225         <AttributeRule Name="urn:mace:dir:attribute-def:roomNumber" Header="Shib-InetOrgPerson-roomNum">
226                 <AnySite>
227             <AnyValue/>
228         </AnySite>
229         </AttributeRule>
230         
231         <AttributeRule Name="urn:mace:dir:attribute-def:seeAlso" Header="Shib-OrgPerson-seeAlso">
232                 <AnySite>
233             <AnyValue/>
234         </AnySite>
235         </AttributeRule>
236         
237         <AttributeRule Name="urn:mace:dir:attribute-def:facsimileTelephoneNumber" Header="Shib-OrgPerson-fax">
238                 <AnySite>
239             <AnyValue/>
240         </AnySite>
241         </AttributeRule>
242         
243         <AttributeRule Name="urn:mace:dir:attribute-def:street" Header="Shib-OrgPerson-street">
244                 <AnySite>
245             <AnyValue/>
246         </AnySite>
247         </AttributeRule>
248         
249         <AttributeRule Name="urn:mace:dir:attribute-def:postOfficeBox" Header="Shib-OrgPerson-POBox">
250                 <AnySite>
251             <AnyValue/>
252         </AnySite>
253         </AttributeRule>
254         
255         <AttributeRule Name="urn:mace:dir:attribute-def:postalCode" Header="Shib-OrgPerson-postalCode">
256                 <AnySite>
257             <AnyValue/>
258         </AnySite>
259         </AttributeRule>
260         
261         <AttributeRule Name="urn:mace:dir:attribute-def:st" Header="Shib-OrgPerson-state">
262                 <AnySite>
263             <AnyValue/>
264         </AnySite>
265         </AttributeRule>
266         
267         <AttributeRule Name="urn:mace:dir:attribute-def:givenName" Header="Shib-InetOrgPerson-givenName">
268                 <AnySite>
269             <AnyValue/>
270         </AnySite>
271         </AttributeRule>
272         
273         <AttributeRule Name="urn:mace:dir:attribute-def:l" Header="Shib-OrgPerson-locality">
274                 <AnySite>
275             <AnyValue/>
276         </AnySite>
277         </AttributeRule>
278         
279         <AttributeRule Name="urn:mace:dir:attribute-def:businessCategory" Header="Shib-InetOrgPerson-businessCat">
280                 <AnySite>
281             <AnyValue/>
282         </AnySite>
283         </AttributeRule>
284         
285         <AttributeRule Name="urn:mace:dir:attribute-def:ou" Header="Shib-OrgPerson-orgUnit">
286                 <AnySite>
287             <AnyValue/>
288         </AnySite>
289         </AttributeRule>
290         
291         <AttributeRule Name="urn:mace:dir:attribute-def:physicalDeliveryOfficeName" Header="Shib-OrgPerson-OfficeName">
292                 <AnySite>
293             <AnyValue/>
294         </AnySite>
295         </AttributeRule>
296         
297
298 </AttributeAcceptancePolicy>