Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:aai:mfa_mit_passwd_spnego_first [2023/12/31 14:42] – Wolfgang Pempe | de:aai:mfa_mit_passwd_spnego_first [2024/01/10 21:08] (aktuell) – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== MFA mit fudiscr und wahlweise Password/ | ====== MFA mit fudiscr und wahlweise Password/ | ||
- | ([[user:hofmann_fu-berlin.de|zurück zur fudiscr-Seite]]) | + | ([[de:shibidp: |
<callout type=" | <callout type=" | ||
Zeile 6: | Zeile 6: | ||
</ | </ | ||
- | ==== SPNEGO als separater | + | ==== SPNEGO als eigenständiger |
Damit authn/ | Damit authn/ | ||
Zeile 12: | Zeile 12: | ||
<!-- | <!-- | ||
<bean id=" | <bean id=" | ||
- | |||
< | < | ||
< | < | ||
Zeile 19: | Zeile 18: | ||
</ | </ | ||
+ | In '' | ||
+ | <file xml ./ | ||
+ | <!-- ... --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | <!-- ... --> | ||
+ | </ | ||
+ | Weiterhin muss der SPNEGO-Button im Login-Template überarbeitet werden (mensch beachte die eventId). Gemeinsam mit dem Username/ | ||
+ | <file xml ./ | ||
+ | <!-- ... --> | ||
+ | <div class=" | ||
+ | <div class=" | ||
+ | <button type=" | ||
+ | | ||
+ | # | ||
+ | </ | ||
+ | </ | ||
+ | <div class=" | ||
+ | <button type=" | ||
+ | # | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | <!-- ... --> | ||
+ | </ | ||
+ | |||
+ | authn/ | ||
+ | |||
+ | <file properties ./ | ||
+ | idp.authn.SPNEGO.enforceRun = true | ||
+ | </ | ||
+ | |||
+ | \\ | ||
+ | |||
+ | ==== Spezifische fudiscr-MFA-Konfiguration ==== | ||
+ | |||
+ | Zunächst in die entsprechende Transition Map definieren: | ||
+ | |||
+ | <file xml ./ | ||
+ | <!-- ... --> | ||
+ | < | ||
+ | <entry key=""> | ||
+ | <bean parent=" | ||
+ | </ | ||
+ | <entry key=" | ||
+ | <bean parent=" | ||
+ | < | ||
+ | <map> | ||
+ | <entry key=" | ||
+ | <entry key=" | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | <entry key=" | ||
+ | <bean parent=" | ||
+ | < | ||
+ | <map> | ||
+ | <entry key=" | ||
+ | <entry key=" | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | <!-- ... --> | ||
+ | </ | ||
+ | |||
+ | Die Liste der supported Principals um den entsprechenden Kerberos-Eintrag erweitern: | ||
+ | <file properties ./ | ||
+ | idp.authn.MFA.supportedPrincipals = \ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | </ | ||
+ | |||
+ | Falls für die weitere Verarbeitung im IdP die User Id ohne Realm benötigt wird (entsprechende Transformationen in der c14n-Config vorausgesetzt), | ||
+ | |||
+ | <file properties ./ | ||
+ | fudiscr.result_with_username_principal=shibboleth.Conditions.FALSE | ||
+ | </ | ||
+ | |||
+ | Sowie in '' | ||
+ | |||
+ | <file xml ./ | ||
+ | <!-- ... --> | ||
+ | < | ||
+ | <!-- was auch immer sonst hier steht --> | ||
+ | <ref bean=" | ||
+ | <ref bean=" | ||
+ | <ref bean=" | ||
+ | </ | ||
+ | <!-- ... --> | ||
+ | </ | ||
+ | |||
+ | Analog zu '' | ||
+ | |||
+ | <file properties ./ | ||
+ | idp.authn.MFA.reuseCondition=shibboleth.Conditions.FALSE | ||
+ | idp.authn.Password.reuseCondition=shibboleth.Conditions.TRUE | ||
+ | idp.authn.SPNEGO.reuseCondition=shibboleth.Conditions.TRUE | ||
+ | idp.authn.fudiscr.reuseCondition=shibboleth.Conditions.FALSE | ||
+ | </ | ||
{{tag> | {{tag> |