(zur Übersicht Attributfreigaben)
Hier finden Sie die Dokumentation von Cisco. Vorsicht: Die dortige Syntax ist veraltet!
Um Ihren hochschulspezifischen Tenant SP von Cisco zu konfigurieren, benötigen Sie den xml-Metadatensatz des SP, den Sie sich bei Cisco Webex herunterladen können. Der Punkt heißt Verzeichnis-Metadaten exportieren.
Gehen Sie wie folgt vor, um ihn einzubinden:
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Laut der Dokumentation unterstützen die Tenant SPs keine OIDs, sondern das Mailattribut soll als „uid“ übermittelt werden. Hier ein Konfigurationsbeispiel für die conf/attribute-resolver.xml
:
Neu installierter IdP 4.x:
<AttributeDefinition xsi:type="Simple" id="webexUid"> <InputDataConnector ref="myLDAP" attributeNames="mail"/> </AttributeDefinition>
Upgegradeter IdP 4.x:
<AttributeDefinition xsi:type="Simple" id="webexUid"> <InputDataConnector ref="myLDAP" attributeNames="mail"/> <DisplayName xml:lang="en">E-mail address wrapped as uid</DisplayName> <DisplayName xml:lang="de">E-Mailadresse als uid übermittelt</DisplayName> <DisplayDescription xml:lang="en">E-mail address wrapped as uid</DisplayDescription> <DisplayDescription xml:lang="de">E-Mailadresse als uid übermittelt</DisplayDescription> <AttributeEncoder xsi:type="SAML2String" name="uid" friendlyName="uid" /> </AttributeDefinition>
<!-- Cisco Webex --> <AttributeFilterPolicy id="ciscowebex"> <PolicyRequirementRule xsi:type="Requester" value="https://idbroker-eu.webex.com/HIER_DIE_ID_IHRES_TENANT_SP" /> <AttributeRule attributeID="webexUid" permitAny="true"/> </AttributeFilterPolicy>
Auch die Datei conf/relying-party.xml
muss angepasst werden, da der SP den Verschlüsselungsalgorithmus AES-GCM nicht unterstützt, der ab Shibboleth IdP 4.x standardmäßig genutzt wird. Bitte schauen Sie hier, wie Sie eine Ausnahme einfügen.
Da Cisco nicht an der DFN-AAI teilnimmt, müssen Sie Ihre IdP-Metadaten dort manuell hinterlegen. Diese Informationen sind dann statisch, das bedeutet, dass sie relevante Änderungen in den IdP-Metadaten (z.B. Zertifikatswechsel) dort auch von Hand nachpflegen müssen.
Holen Sie sich die Metadaten Ihres Identity Providers aus der Metadatenverwaltung, wie auf der Troubleshooting-Seite beschrieben. Verwenden Sie nicht die Datei idp-metadata.xml von Ihrem IdP - sie ist i.d.R. nicht auf dem aktuellen Stand.
Bei Cisco Webex wählen in den Einstellungen „Drittanbieter-Identity Provider integrieren“.
Der Zertifikatswechsel in der Metadatenverwaltung wird genau so durchgeführt wie bei anderen SPs auch, d.h. Sie lassen beide Zertifikate, das alte und das neue, vorübergehend parallel in den Metadaten stehen.