Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3attributes-arcgis [2019/10/28 15:18]
Silke Meyer angelegt
de:shibidp3attributes-arcgis [2020/05/11 16:27] (aktuell)
Silke Meyer
Zeile 1: Zeile 1:
 ====== ArcGIS Online als Service Provider ====== ====== ArcGIS Online als Service Provider ======
 +
 +<callout color="#​ff9900"​ title="​Wahrscheinlich IdP 4.x-kompatibel">​
 +Die Anleitung ist wahrscheinlich auch für den Shibboleth IdP 4.x gültig. Bitte geben Sie uns Bescheid, wenn hier etwas aktualisiert werden muss.
 +</​callout>​
  
 Akademische Einrichtungen erhalten jeweils eigene ArcGIS Online Organisationsumgebungen im Rahmen einer Jahressubskription. Jede Subskription hat technisch gesehen einen eigenen Endpunkt und ist somit im Sprachgebrauch von SAML als eigener SP zu verstehen. Da somit in der DFN-AAI jeder IdP (Identity Provider) seinen eigenen ArcGIS Online SP (Service Provider) hat, wird die Anbindung im lokalen Metadatensatz empfohlen. Akademische Einrichtungen erhalten jeweils eigene ArcGIS Online Organisationsumgebungen im Rahmen einer Jahressubskription. Jede Subskription hat technisch gesehen einen eigenen Endpunkt und ist somit im Sprachgebrauch von SAML als eigener SP zu verstehen. Da somit in der DFN-AAI jeder IdP (Identity Provider) seinen eigenen ArcGIS Online SP (Service Provider) hat, wird die Anbindung im lokalen Metadatensatz empfohlen.
Zeile 8: Zeile 12:
 Es ist zu beachten, dass ArcGIS Online den Empfehlungen der Interoperable SAML 2.0 Profilen folgt und bei einer verschlüsselten Assertion auch die Signierung der Assertion voraussetzt (https://​saml2int.org/​profile/​current/#​section91). Da die Standardkonfiguration von Shibboleth zwar die Verschlüsselung,​ nicht jedoch die Signierung der Assertion vorsieht, empfiehlt Esri in der Dokumentation die Verschlüsselung der Assertion abzuschalten (s. Schritt 4b https://​doc.arcgis.com/​de/​arcgis-online/​administer/​configure-shibboleth.htm). Alternativ ist es jedoch auch möglich die Signierung der Assertion bei eingeschalteter Verschlüsselung zu aktivieren. Dazu muss der Schritt 4b aus der Anleitung wie folgt abgeändert werden: Es ist zu beachten, dass ArcGIS Online den Empfehlungen der Interoperable SAML 2.0 Profilen folgt und bei einer verschlüsselten Assertion auch die Signierung der Assertion voraussetzt (https://​saml2int.org/​profile/​current/#​section91). Da die Standardkonfiguration von Shibboleth zwar die Verschlüsselung,​ nicht jedoch die Signierung der Assertion vorsieht, empfiehlt Esri in der Dokumentation die Verschlüsselung der Assertion abzuschalten (s. Schritt 4b https://​doc.arcgis.com/​de/​arcgis-online/​administer/​configure-shibboleth.htm). Alternativ ist es jedoch auch möglich die Signierung der Assertion bei eingeschalteter Verschlüsselung zu aktivieren. Dazu muss der Schritt 4b aus der Anleitung wie folgt abgeändert werden:
  
 +Wenn Sie eine ''​SAML:​1.1:​nameid-format:​unspecified''​ als Container für die zu übertragenden Attribute nutzen, richten Sie die Übertragung wie folgt ein:
 <file xml relying-party.xml>​ <file xml relying-party.xml>​
 <bean parent="​RelyingPartyByName"​ c:​relyingPartyIds="​[The Entity ID of your ArcGIS Online organization]">​ <bean parent="​RelyingPartyByName"​ c:​relyingPartyIds="​[The Entity ID of your ArcGIS Online organization]">​
Zeile 19: Zeile 24:
 </​file>​ </​file>​
  
 +Alternativ können Sie wie gewohnt Ihre persistentIDs übertragen.
 +<file xml relying-party.xml>​
 +<bean parent="​RelyingPartyByName"​ c:​relyingPartyIds="​[The Entity ID of your ArcGIS Online organization]">​
 +    <​property name="​profileConfigurations">​
 +        <​list>​
 +     <bean parent="​SAML2.SSO"​ p:​nameIDFormatPrecedence="​urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent" ​
 + p:​signAssertions="​true"​ />
 + </​list>​
 +    </​property>​
 +</​bean>​
 +</​file>​
 +
 +{{tag>​idp3}}
  • Zuletzt geändert: vor 7 Monaten