====== IdP-Authn-Plugin fudiscr ======
===== Allgemein =====
Das Plugin kann als weiterer Faktor für die Multi-Faktor-Authentifizierung (MFA) vom [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/overview|Shibboleth Identity Provider (IdP)]] verwendet werden.
Es unterstützt Token basierte Authentifizierungen und folgt im Kern dem Challenge-Response-Pattern.
Aus einem der vorherigen Faktoren in der MFA-Abfolge wird als Basis ein Benutzername ermittelt.
Ein häufiger Fall ist eine vorangestellte Authentifizierung mit Benutzer und Passwort gegen LDAP mit dem authn/Password-Flow.
Das Plugin besitzt selbst keine Funktionen zur Verwaltung von Token.
Es enthält auch selbst keine speziellen Algorithmen zur Validierung von Token.
Über ein generisches ChallengeResponseClientInterface kann ein Token-System angebunden werden.
Das Plugin enthält bereits eine Implementierung dieses Interfaces für [[https://edumfa.io/|eduMFA]] und [[https://www.privacyidea.org/|privacyIDEA]].
Zudem ist eine rudimentäre Mockup-Implementierung für Tests enthalten.
Eine externe Implementierung für [[https://www.fortinet.com/de/products/identity-access-management/fortiauthenticator|Fortinet]] existiert auch bereits.
Die primären Entwicklungsarbeiten wurden von Steffen Hofmann von der [[https://www.fu-berlin.de|Freien Universität Berlin]] durchgeführt.
Er ist Mitarbeiter des Rechenzentrums [[https://www.zedat.fu-berlin.de|(FUB-IT)]] und zuständig für den Bereich Identity Management. Das Identity Management System der Freien Universität Berlin trägt den Namen FUDIS (FU Directory and Identity Service). Aus diesem Grund wird für das **C**hallenge-**R**esponse-Plugin in Konfigurationsparametern u.a. das Kürzel fudiscr verwendet.
Mit den Versionen 1.4.0 und 2.0.0 erfolgt eine Zusammenarbeit im Bereich [[https://fidoalliance.org/passkeys/|Passkeys]] mit der [[https://www.hm.edu|Hochschule München]]. Das Plugin enthält ab diesen Versionen ein weiteres Authentifizierungsverfahren mit dem Namen fudispasskeys. Anstelle einer zweistufigen Authentifizierung aus z.B. Benutzernamen/Passwort und Token-Validierung mit fudiscr kann eine alleinige Authentifizierung mit [[https://fidoalliance.org/passkeys/|Passkeys]] durchgeführt werden.
===== Versionen für den Shibboleth Identity Provider v4 =====
End of life seit dem 01.09.2024
^ Plugin-Version ^ IdP-Version ^ eduMFA-Version ^ privacyIDEA-Version ^ Support-Level ^
| 1.0.0 | min. 4.1.2 und < 4.3.0 | N/A | min. 3.7 | nicht mehr verwenden |
| 1.1.0 | min. 4.1.2 und < 4.3.0 | N/A | min. 3.7 | nicht mehr verwenden |
| 1.1.1 | min. 4.1.2 und < 4.3.0 | N/A | min. 3.7 | nicht mehr verwenden |
| 1.2.0 | min. 4.1.2 und < 4.3.0 | N/A | min. 3.7 | nicht mehr verwenden |
| 1.3.0 | min. 4.3.0 und < 5.0.0 | N/A | min. 3.7 | nicht mehr verwenden |
| 1.4.0 | min. 4.3.0 und < 5.0.0 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden |
===== Versionen für den Shibboleth Identity Provider in der v5 =====
^ Plugin-Version ^ IdP-Version ^ eduMFA-Version ^ privacyIDEA-Version ^ Support-Level ^
| 2.0.0 | min. 5.0.0 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden |
| 2.1.0 | min. 5.1.0 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden |
===== Unterstütze Token-Verfahren aus eduMFA und privacyIDEA =====
Aktuell werden die folgenden Token-Verfahren aus eduMFA ([[https://edumfa.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in eduMFA]]) und privacyIDEA ([[https://privacyidea.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in privacyIDEA]]) unterstützt:
^ Token-Verfahren ^ Typbezeichnung im Plugin ^ min. Plugin-Version ^ Einschränkungen / Hinweise ^
| Email | mail | 1.0.0 | |
| HOTP Token | hotp | 1.0.0 | |
| Indexed Secret Token | indexed_secret | 1.0.0 | |
| mOTP Token | motp | 1.0.0 | |
| Paper Token (PPR) | indexed_tan | 1.0.0 | |
| Questionnaire Token | question | 1.0.0 | Es darf nur eine Antwort per Richtlinie verlangt werden. |
| Registration | registration_code | 1.3.0 | |
| Remote | //referenzierter Tokentyp// | 1.3.0 | Nur referenzierte Token vom Typ //Email//, //HOTP Token//, //mOTP Token//, //Paper Token (PPR)//, //Registration//, //SMS Token//, //TAN Token, TOTP//, //Yubico// und //Yubikey// werden unterstützt. |
| SMS Token | sms | 1.0.0 | |
| Spass | simple_pass_token | 1.4.0 / 2.0.0 | |
| TAN Token | tan | 1.0.0 | |
| TOTP | totp | 1.0.0 | |
| WebAuthn | web_authn | 1.2.0 | |
| Yubico | yubico_otp | 1.3.0 | |
| Yubikey | yubikey_aes | 1.3.0 | |
===== Vorarbeiten im Token-Management-System =====
==== eduMFA ====
siehe [[user:hofmann_fu-berlin.de:edumfa_setup|Installation und Konfiguration von eduMFA]]
==== privacyIDEA ====
siehe [[user:hofmann_fu-berlin.de:privacyidea_setup|Installation und Konfiguration von privayIDEA]]
===== Installation =====
==== Aktivierung MFA-Modul ====
Das fudiscr-Plugin benötigt das MFA-Modul. Dieses sollte wie folgt aktiviert werden:
%{idp.home}/bin/module.sh -e idp.authn.MFA
Mit dem MFA-Modul wird auch die Konfigurationsdatei, ''%{idp.home}/conf/authn/mfa-authn-config.xml'' abgelegt.
(siehe auch [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505534/MultiFactorAuthnConfiguration|Shibboleth-IdP MultiFactorAuthnConfiguration]])
\\
==== Installation fudiscr-Plugin ====
Die Installation sowie Updates erfolgen über den Shibboleth Plugin-Mechanismus (siehe offizielle Dokumentation [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500688/PluginInstallation|PluginInstallation]])
**Achtung:** Der Shibboleth Identity Provider führt nach einer Plugin-Installation automatisch einen Neustart durch.
Mit dem folgenden Aufruf wird das Plugin installiert und aktiviert:
%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/authn/fudiscr/current/fudis-shibboleth-idp-plugin-authn-fudiscr-current.tar.gz
Zukünftige Updates werden automatisch mit dem folgendem Aufruf installiert:
%{idp.home}/bin/plugin.sh -u de.zedat.fudis.shibboleth.idp.plugin.authn.fudiscr
Für ein vollautomatische Installation können die PGP-Keys vorab heruntergeladen und bei der Installation mit angeben werden:
wget -O %{idp.home}/PGP_KEYS_FUDIS https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/PGP_KEYS
%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/authn/fudiscr/current/fudis-shibboleth-idp-plugin-authn-fudiscr-current.tar.gz --truststore %{idp.home}/PGP_KEYS_FUDIS
\\
===== MFA-Konfiguration =====
(Zum REFEDS Multi-Factor Authentication Profile siehe unter [[de:aai:refeds_authn_profiles_idp|REFEDS AuthN Profiles - Hinweise für Identity Provider]])
\\
In ''%{idp.home}/conf/authn/authn.properties'' sind folgende Einstellungen vorzunehmen:
idp.authn.flows = MFA
idp.authn.fudiscr.supportedPrincipals= \
saml2/urn:de:zedat:fudis:SAML:2.0:ac:classes:CR
idp.authn.MFA.supportedPrincipals = \
saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:InternetProtocol, \
saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport, \
saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:Password, \
saml1/urn:oasis:names:tc:SAML:1.0:am:password, \
saml2/urn:de:zedat:fudis:SAML:2.0:ac:classes:CR
''idp.authn.MFA.supportedPrincipals'' ist bereits im Standard aktiviert.
Es wird lediglich die [[https://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf|AuthenticationContextClass]] ''saml2/urn:de:zedat:fudis:SAML:2.0:ac:classes:CR'' ergänzt.
Anstelle von ''saml2/urn:de:zedat:fudis:SAML:2.0:ac:classes:CR'' kann auch eine andere [[https://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf|AuthenticationContextClass]]
oder zusätzliche unter ''idp.authn.fudiscr.supportedPrincipals'' UND ''idp.authn.MFA.supportedPrincipals'' eingetragen werden.
Es wird empfohlen, mindestens eine zusätzliche Klasse zu definieren, über die explizit die Multi-Faktor-Authentifizierung ausgelöst werden kann.
Es besteht aber keine Verpflichtung, da eine Multi-Faktor-Authentifizierung auch über andere Mechanismen ausgelöst werden kann.
Über die Transitionen in ''%{idp.home}/conf/authn/mfa-authn-config.xml'' wird die Abfolge der einzelnen Faktoren gesteuert.
Hier können verschiedene Mechanismen verwendet werden, um die Bedingungen für die Übergänge in die nächsten Faktoren zu formulieren.
Die offizielle Dokumentation dazu finden Sie hier:
[[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505534/MultiFactorAuthnConfiguration|MultiFactorAuthnConfiguration]]
==== Beispiele MFA-Konfiguration ====
Im Folgenden werden drei Beispiele für eine MFA-Konfiguration aufgeführt.
**Beispiel 1**: Nach der Authentifizierung mit Benutzername und Passwort erfolgt immer eine Token basierte Authentifizierung mit fudiscr.
**Beispiel 2**: Nach der Authentifizierung mit Benutzername und Passwort erfolgt dann eine Token basierte Authentifizierung, wenn die AuthenticationContextClass, die der ServiceProvider benötigt, nicht ausreicht.
**Beispiel 3**: Nach der Authentifizierung mit Benutzername und Passwort erfolgt dann eine Token basierte Authentifizierung, wenn die AuthenticationContextClass, die der ServiceProvider benötigt, nicht ausreicht oder wenn der/die Benutzer*in nach eduPersonAffiliation zu der Gruppe der Beschäftigten (employee) gehört.
**Beispiel 4**:
Nachfolgendes Beispiel funktioniert erst ab der fudiscr-Version 1.1.0. Für Versionen 1.1.0 bis <1.3.0 kann //fudiscr.UserHasAnyTokenPredicate// anstelle von //fudiscr.UserHasTokenPredicate// verwendet werden.
Nach der Authentifizierung mit Benutzername und Passwort erfolgt dann eine Token basierte Authentifizierung, wenn die AuthenticationContextClass, die der ServiceProvider benötigt, nicht ausreicht oder wenn der/die Benutzer*in bereits mindestens einen Token besitzt. Bei den Tokens wird der Zustand nicht geprüft. Ein gesperrter Token würde z.B. dafür sorgen, dass das ''fudiscr.UserHasTokenPredicate'' den Wert ''true'' zurückgibt. Dieses Predicate wurde insbesondere für Rollout-Szenarien eingeführt.
\\
**Beispiel 5**: Wahlweise authn/Password und authn/SPNEGO als ersten Faktor -> [[de:aai:mfa_mit_passwd_spnego_first|hier]].
\\
=== Reuse Condition ===
Für Authentifizierungsverfahren im Shibboleth Identity Provider kann generell eine //Reuse Condition// definiert werden.
In der Regel ist der Default-Wert ''shibboleth.Conditions.TRUE''.
Die Bedingung ist also immer erfüllt.
Es können als //Reuse Condition// auch eigene Funktionen definiert werden.
Für die Multi-Faktor-Authentifizierung gelten besondere Regeln. Eine Beschreibung finden Sie in der offiziellen Dokumentation unter
[[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505534/MultiFactorAuthnConfiguration|MultiFactorAuthnConfiguration]].
Mit folgender Konfiguration in ''%{idp.home}/conf/authn/authn.properties'' erreichen Sie, dass innerhalb einer Single-Sign-On-Session nur einmal Benutzername und Passwort verlangt wird, aber pro Service Provider Authentifizierung immer eine Token basierte Authentifizierung mit fudiscr.
idp.authn.MFA.reuseCondition=shibboleth.Conditions.FALSE
idp.authn.Password.reuseCondition=shibboleth.Conditions.TRUE
idp.authn.fudiscr.reuseCondition=shibboleth.Conditions.FALSE
Das Ergebnis der MFA-Authentifizierung darf demnach nicht erneut verwendet werden, aber innerhalb der Multi-Faktor-Authentifizierung darf das existierende erfolgreiche Ergebnis der Benutzername-Passwort-Authentifizierung (//Password//) verwendet werden und das Ergebnis von //fudiscr// aber nicht.
Es wird empfohlen, ''idp.authn.MFA.reuseCondition=shibboleth.Conditions.FALSE'' zu setzen, damit bei jeder Authentifizierungsanfrage die Logik in ''./conf/authn/mfa-authn-config.xml'' durchlaufen wird. Im Reuse-Fall wird z.B. bei bestehender SSO-Session nicht geprüft, ob ein/e Benutzer*in einer bestimmten Affiliation angehört.
Bei der Verwendung von ''mfaCtx.isAcceptable()'' ist im Zusammenhang mit den Reuse Conditions besondere Vorsicht geboten. Bei dieser Funktion werden nämlich Reuse Conditions nicht beachtet. Wurde bereits eine angefragte [[https://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf|AuthenticationContextClass]] zuvor erfüllt, so liefert die Funktion ''true'' zurück.
...
...
Nachfolgendes Beispiel erweitert das vorherige Beispiel und erzwingt den Aufruf vom zweiten Faktor mit fudiscr, wenn dieser per [[https://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf|AuthenticationContextClass]] 'urn:de:zedat:fudis:SAML:2.0:ac:classes:CR' angefordert wird.
...
...
Wenn 'ForceAuthn' via SAML angefragt wird, dann gibt die Funktion ''mfaCtx.isAcceptable()'' immer ''false'' zurück.
\\
===== AuthenticationFlowDescriptor für fudiscr =====
Jedes Authentifizierungsverfahren im Shibboleth Identity Provider basiert auf einem abstrakten Flow mit einem AuthenticationFlowDescriptor, siehe hierzu [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505085/AuthenticationConfiguration|AuthenticationConfiguration]].
Die Eigenschaften des AuthenticationFlowDescriptor werden in der Regel für alle Flows in ''%{idp.home}/conf/authn/authn.properties''. Als Vorlage sind diese auskommentiert in ''%{idp.home}/conf/authn/fudiscr.properties'' enthalten, um sie nach der Plugin-Installation bereitszustellen:
#idp.authn.fudiscr.order=1000
#idp.authn.fudiscr.nonBrowserSupported=true
#idp.authn.fudiscr.passiveAuthenticationSupported=true
#idp.authn.fudiscr.forcedAuthenticationSupported=true
#idp.authn.fudiscr.proxyRestrictionsEnforced=%{idp.authn.fudiscr.forcedAuthenticationSupported:true}
#idp.authn.fudiscr.proxyScopingEnforced=false
#idp.authn.fudiscr.discoveryRequired=false
#idp.authn.fudiscr.lifetime=%{idp.authn.defaultLifetime:PT1H}
#idp.authn.fudiscr.inactivityTimeout=%{idp.authn.defaultTimeout:PT30M}
#idp.authn.fudiscr.reuseCondition=shibboleth.Conditions.TRUE
#idp.authn.fudiscr.activationCondition=shibboleth.Conditions.TRUE
#idp.authn.fudiscr.subjectDecorator=
#idp.authn.fudiscr.errorMessageFunction = DefaultPasswordErrorFunction
#idp.authn.fudiscr.genericMessageID = authn
#idp.authn.fudiscr.addDefaultPrincipals=true
#idp.authn.fudiscr.trimUsernamePrincipal=true
#idp.authn.fudiscr.lowercaseUsernamePrincipal=false
#idp.authn.fudiscr.uppercaseUsernamePrincipal=false
#idp.authn.fudiscr.supportedPrincipals= \
# saml2/urn:de:zedat:fudis:SAML:2.0:ac:classes:CR
''idp.authn.fudiscr.supportedPrincipals'' wurde bereits in der https://doku.tid.dfn.de/user:hofmann_fu-berlin.de#mfa-konfiguration vorgestellt.
\\
===== fudiscr-Konfiguration =====
==== Hinweis zu älteren IdP-Konfigurationen ====
Wenn Sie eine IdP-Konfiguration von vor Version 4.1.0 weiterpflegen, achten Sie bitte darauf, dass die Datei ''%{idp.home}/conf/idp.properties'' zu Beginn die folgende Zeile enthält, damit automatisch alle ''.properties''-Dateien unterhalb des ''%{idp.home}/conf''-Ordners (wie z.B. ''%{idp.home}/conf/fudiscr.properties'') eingelesen werden.
idp.searchForProperties=true
==== Konfigurationsdateien ====
Mit der Installation des fudiscr-Plugins wird die Konfigurationsdatei ''%{idp.home}/conf/authn/fudiscr.properties'' abgelegt. Änderungen in dieser Datei werden in der Regel erst mit einem Neustart des Identity Providers wirksam.
Außerdem wird die Konfigurationsdatei ''%{idp.home}/conf/authn/fudiscr.xml'' abgelegt. Die in dieser Datei enthaltenen Konfigurations-Beans werden über den [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199507931/ReloadableServices|ReloadableService]]-Mechanismus vom Shibboleth Identity Provider verwaltet (siehe auch [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199507931/ReloadableServices|ReloadableServices]]).
Der Service kann wie folgt neu geladen werden:
%{idp.home}/bin/reload-service.sh -id fudiscr.ConfigurationBeansService
Alternativ kann der Reload durch direkten Aufruf der URL ausgelöst werden und vermeidet Fehler durch den Wrapper in ''reload-service.sh''.
GET http(s)://[idp-base-url]/idp/profile/admin/reload-service?id=fudiscr.ConfigurationBeansService
Analog zu den Parametern für die anderen [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199507931/ReloadableServices|ReloadableServices]] vom Shibboleth Identity Provider existieren für das fudiscr-Plugin die nachfolgenden:
fudiscr.service.failFast=false
fudiscr.service.checkInterval=PT0S
fudiscr.service.resources=fudiscr.ConfigurationResources
Sollen Konfigurationsänderungen in ''%{idp.home}/conf/authn/fudiscr.xml'' automatisch geladen werden, so ist das Prüfintervall mit ''fudiscr.service.checkInterval'' zu setzen. Per Default (PT0S) ist die regelmäßige Prüfung der Veränderung des Zeitstempels von ''%{idp.home}/conf/authn/fudiscr.xml'' deaktiviert.
==== Allgemeine Konfigurationsoptionen ====
Folgende allgemeine Konfigurationsoptionen können über die Konfigurationsdatei ''%{idp.home}/conf/authn/fudiscr.properties'' gesetzt werden.
^Option^Default-Wert^Beschreibung^
|**''fudiscr.challengeResponseClient''**|''EduMfaChallengeResponseClient''|Diese Option legt fest, welches Token-Backend angesprochen werden soll. Seit Version 2.1.0 ist der Default-Wert ''EduMfaChallengeResponseClient'', zuvor ''PrivacyIdeaChallengeResponseClient''. Es gibt auch die Möglichkeit, einen ''PrivacyIdeaChallengeResponseClient'' zu verwenden, der ohne Backend funktioniert und sämtliche Informationen als DEBUG-Meldungen beim Starten des IdP in die Logfiles schreibt.|
|''fudiscr.default_users_realm''|//leer//|Sollte sich kein Realm aus dem Benutzernamen ergeben, so kann mit dieser Option ein Realm festegelegt werden, der bei Fehlen im fudiscr-Plugin ergänzt wird. In den meisten Fällen wird kein Realm benötigt, so dass per Default kein Realm ergänzt wird.
|''fudiscr.filter_tokens.id_exclude_regex''|//leer//|Mit dieser Option können Token anhand ihrer ID/Seriennummer für die Verwendung im fudiscr-Plugin ausgeschlossen werden. Z.B. werden mit //^HOTP.*$// alle HOTP-Token ignoriert, die als Softwaretoken in privacyIDEA angelegt wurden und eine Seriennummer beginnend mit HOTP erhalten. Per Default wird der Filter nicht verwendet. Die Regular Expression ist nicht definiert.|
|''fudiscr.filter_tokens.type_exclude_regex''|//leer//|Mit dieser Option können Token-Typen für die Verwendung im fudiscr-Plugin ausgeschlossen werden. Z.B. werden mit //^totp$// alle TOTP-Token ignoriert. Per Default wird der Filter nicht verwendet. Die Regular Expression ist nicht definiert.|
|''fudiscr.on_failed_restart_completely_mfa''|''shibboleth.Conditions.FALSE''|Dieses [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508946/PredefinedBeans|Predicate]] legt fest, ob bei einem Neustart der Authentifizieurung aus dem fudiscr-Plugin heraus nur der Faktor //fudiscr// im MFA-Flow (Default) oder die gesamte Authentifizierung neu gestartet wird. Gibt das [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508946/PredefinedBeans|Predicate]] ''TRUE'' zurück, werden also die Ergebnisse der vorherigen Faktoren zurückgesetzt. Es werden also Benutzername und Passwort u.a. erneut verlangt.|
|''fudiscr.max_retries''|''10''|Anzahl an Fehlversuchen für die Validierung. Ist der Wert erreicht, wird die Validierung erfolglos beendet. Dieser Wert ist unabhängig von den erlaubten Fehlversuchen in privacyIDEA. Sollen ausschließlich die Fehlerzähler aus privacyIDEA wirken, so empfiehlt es sich, den Wert für ''fudiscr.max_retries'' passend zu erhöhen (> max. Failcounter in privacyIDEA).|
|''fudiscr.restart_allowed.max_retries_exceeded''|''shibboleth.Conditions.TRUE''|Dieses [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508946/PredefinedBeans|Predicate]] legt fest, ob ein Neustart der Authentifizierung im fudiscr-Plugin erlaubt ist, wenn ''fudiscr.max_retries'' erreicht ist.|
|''fudiscr.restart_allowed.selected_tokens_not_available''|''shibboleth.Conditions.TRUE''|Dieses [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508946/PredefinedBeans|Predicate]] legt fest, ob ein Neustart der Authentifizierung im fudiscr-Plugin erlaubt ist, wenn die durch Nutzer ausgewählten Token nicht mehr verfügbar sind (z.B. durch Sperrung in privacyIDEA).|
|''fudiscr.restart_allowed.within_response_page''|''shibboleth.Conditions.TRUE''|Dieses [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508946/PredefinedBeans|Predicate]] legt fest, ob ein Neustart der fudiscr-Authentifizierung über die Eingabeseite für die Response (OTP, TAN u.a.) erlaubt ist.||
|''fudiscr.result_idp_attribute_principal_attribute_name''|//leer//|Wird mit dieser Option ein Attributname angeben, so wird ein [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199503198/PrincipalNameAttributeDefinition|IdpAttributePrincipal]] mit diesem Attributnamen dem erfolgreichen Authentifizierungsergebnis des fudiscr-Plugins hinzugefügt. Der Attributwert enthält die ID/Seriennummer des Token, mit dem die Authentifizierung erfolgt ist.|
|''fudiscr.result_idp_attribute_principal_attribute_name_for_token_type''|//leer//|Wird mit dieser Option ein Attributname angeben, so wird ein [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199503198/PrincipalNameAttributeDefinition|IdpAttributePrincipal]] mit diesem Attributnamen dem erfolgreichen Authentifizierungsergebnis des fudiscr-Plugins hinzugefügt. Der Attributwert enthält den Token-Typ des Token, mit dem die Authentifizierung erfolgt ist.|
|''fudiscr.result_with_realm_in_username_principal''|''shibboleth.Conditions.FALSE''|Wenn mit ''fudiscr.result_with_username_principal'' ein [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505212/AttributePostLoginC14NConfiguration|UsernamePrincipal]] erzeugt wird, dann legt dieses [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508946/PredefinedBeans|Predicate]] fest, ob der Realm enthalten ist. ''TRUE'' (default) erzeugt z.B. //dummy@fu-berlin.de//, ''FALSE'' nur //dummy// als Username.|
|''fudiscr.result_with_username_principal''|''shibboleth.Conditions.TRUE''|Dieses [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508946/PredefinedBeans|Predicate]] legt fest, ob nach erfolgreicher Authentifizierung ein [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505212/AttributePostLoginC14NConfiguration|UsernamePrincipal]] dem Subject hinzugefügt wird. Per Default enthält das Authentifizierungsergebnis nach erfolgreicher Authentifizierung mit dem fudiscr-Plugin einen [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505212/AttributePostLoginC14NConfiguration|UsernamePrincipal]].|
|''fudiscr.username_realm_split_regex''|''@''|Aus einem vorherigen Faktor wird bei der Authentifizierung ein Benutzername erzeugt. Dieser kann auch einen Realm enthalten, z.B. //dummy@fu-berlin.de//. Mit dieser Option wird das Trennzeichen festgelegt, anhand dessen die Auftrennung in Benutzernamen und Realm erfolgt. Der Defaultwert ist ''@''|
|''fudiscr.user_token_selection''|''none''|Diese Option legt fest, ob Token durch Nutzer*innen ausgewählt werden können. Mögliche Werte sind: ''none''=keine Auswahl, ''singleToken''=Auswahl eines einzelnen Token (anhand der ID/Seriennummer), ''multipleToken''=Auswahl mehrerer Token (anhand der Seriennummer), ''singleTokenTypeGroup''=Auswahl eines einzelnen Tokentyps (z.B. totp), ''singleTokenTypeGroup''=Auswahl mehrerer Token-Typen. Per Default (''none'') wird eine Challenge für alle aktive Token erzeugt.|
==== Konfigurationsoptionen für eduMFA/privacyIDEA ====
=== eduMFA ===
siehe [[user:hofmann_fu-berlin.de:edumfa_setup|Installation und Konfiguration von eduMFA]]
=== privacyIDEA ===
siehe [[user:hofmann_fu-berlin.de:privacyidea_setup|Installation und Konfiguration von privacyIDEA]]
\\
==== Filterung von Token ====
Token können anhand von Eigenschaften wie Token-ID/-Seriennummer, -Status, -Typ u.a. herausgefiltert werden. Außerdem können für die Filterung die Eigenschaften aus einer SAML- oder OIDC-Anfrage genutzt werden. Hierzu gehören z.B. die entityID des Service Provider, die Authentication Context Class oder die IP-Adresse der Nutzer*innen.
=== Generelle Filterung via Regular Expressions ===
Allgemein können Token anhand ihres Typs oder ihrer ID/Seriennummer mit den (o.g.) Konfigurationsoptionen ''fudiscr.filter_tokens.type_exclude_regex'' und ''fudiscr.filter_tokens.id_exclude_regex'' in ''%{idp.home}/conf/authn/fudiscr.properties'' ausgeschlossen werden.
fudiscr.filter_tokens.type_exclude_regex=^(sms|web_authn)$
In diesem Beispiel werden alle SMS- und WebAuthn-Token herausgefiltert.
fudiscr.filter_tokens.id_exclude_regex=^(OATH|TOTP).+$
In diesem Beispiel werden alle Token herausgefiltert, die den Präfix OATH oder TOTP in der Seriennummer besitzen. Das betrifft in eduMFA und privacyIDEA alle HOTP- und TOTP-Token
=== Filterung mit erweiterten Ausschlussbedingungen ===
In ''%{idp.home}/conf/authn/fudiscr.xml'' können erweiterte Ausschlussbedingungen definiert werden. Die Bedingungen werden in der Liste ''fudiscr.ExcludeTokenPredicates'' zusammengefasst und nacheinander abgearbeitet.