Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:aai:mfa_mit_passwd_spnego_first [2023/12/31 15:42] – Wolfgang Pempe | de:aai:mfa_mit_passwd_spnego_first [2024/01/10 21:08] (aktuell) – Wolfgang Pempe |
---|
====== MFA mit fudiscr und wahlweise Password/SPNEGO als erstem Faktor ====== | ====== MFA mit fudiscr und wahlweise Password/SPNEGO als erstem Faktor ====== |
([[user:hofmann_fu-berlin.de|zurück zur fudiscr-Seite]]) | ([[de:shibidp:plugin-fudiscr|zurück zur fudiscr-Seite]]) |
| |
<callout type="danger" title="Wichtiger Hinweis"> | <callout type="danger" title="Wichtiger Hinweis"> |
</file> | </file> |
| |
Weiterhin muss der SPNEGO-Button im Login-Template überarbeitet werden. Gemeinsam mit dem Username/Password-Button sieht dies dann folgendermaßen aus: | Weiterhin muss der SPNEGO-Button im Login-Template überarbeitet werden (mensch beachte die eventId). Gemeinsam mit dem Username/Password-Button sieht dies dann folgendermaßen aus: |
| |
<file xml ./views/login.vm> | <file xml ./views/login.vm> |
</file> | </file> |
| |
Falls für die weitere Verarbeitung im IdP die Nutzerkennung ohne Realm benötigt wird (entsprechende Transformationen in der c14n-Config vorausgesetzt), gilt es zu verhindern, dass der MFA-Flow mit zwei unterschiedlichen Usernames bzw. "Username Principals" arbeitet - einmal mit, einmal ohne Realm. Daher muss fudiscr daran gehindert werden, die Nutzerkennung aus der Authentisierung mit dem zweiten Faktor weiter zu verarbeiten: | Falls für die weitere Verarbeitung im IdP die User Id ohne Realm benötigt wird (entsprechende Transformationen in der c14n-Config vorausgesetzt), gilt es zu verhindern, dass der MFA-Flow mit zwei unterschiedlichen Usernames bzw. "Username Principals" arbeitet - einmal mit, einmal ohne Realm. Daher muss fudiscr daran gehindert werden, die User Id aus der Authentisierung mit dem zweiten Faktor weiter zu verarbeiten: |
| |
<file properties ./conf/authn/fudiscr.properties> | <file properties ./conf/authn/fudiscr.properties> |
</file> | </file> |
| |
Analog zu ''idp.authn.Password.reuseCondition'' sollte diese Einstellung für ''idp.authn.SPNEGO.reuseCondition'' gesetzt werden, also z.B. | Analog zu ''idp.authn.Password.reuseCondition'' sollte auch die Condition für ''idp.authn.SPNEGO.reuseCondition'' gesetzt werden, also z.B. |
| |
<file properties ./conf/authn/authn.properties> | <file properties ./conf/authn/authn.properties> |