Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
de:shibidp3ecp [2017/09/01 12:17]
Raoul Gunnar Borenius [Basic-Auth mithilfe von Apache]
de:shibidp3ecp [2019/10/10 15:07]
Silke Meyer
Zeile 1: Zeile 1:
-====== Enhanced Client ​and Proxy (ECP) ======+====== Enhanced Client ​or Proxy (ECP) ====== 
 + 
 +Die grundlegenden Konzepte sind im [[https://​wiki.shibboleth.net/​confluence/​display/​CONCEPT/​ECP|Shibboleth Wiki dokumentiert]].
  
 ECP ist im IdP 3.x out-of-the box aktiv. ECP ist im IdP 3.x out-of-the box aktiv.
Zeile 29: Zeile 31:
  
 <file html /​etc/​apache2/​sites-available/​idp.hochschule-XY.de.conf>​ <file html /​etc/​apache2/​sites-available/​idp.hochschule-XY.de.conf>​
-# Definition des Root-CA-Zertifikates, im Beispiel von der DFN-PKI Generation 2+
 +# Definition des LDAP-Server-Root-CA-Zertifikates
 # #
 # ACHTUNG: # ACHTUNG:
 # #
 # - kann nicht innerhalb des VirtualHost stehen # - kann nicht innerhalb des VirtualHost stehen
 +# - hier im Beispiel von der DFN-PKI Generation 2, muss zur ROOT-CA des LDAP-Server-
 +#   ​Zertifikates passen!
 # - stellen Sie sicher dass in /​etc/​ldap/​ldap.conf kein anderes ROOT-CA-Zertifikat # - stellen Sie sicher dass in /​etc/​ldap/​ldap.conf kein anderes ROOT-CA-Zertifikat
 #   ​eingetragen ist welches diesen Eintrag überschreiben würde! #   ​eingetragen ist welches diesen Eintrag überschreiben würde!
Zeile 73: Zeile 78:
 neuesten Client im Einsatz haben damit der Zugriff funktioniert. neuesten Client im Einsatz haben damit der Zugriff funktioniert.
  
-==== Probleme mit bwLehrppol ​seit Version 3.3.x ====+==== Probleme mit bwLehrpool ​seit Version 3.3.x ====
  
 Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http://​shibboleth.1660669.n2.nabble.com/​ECP-issue-with-current-opensaml-soap-impl-td7629351.html) Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http://​shibboleth.1660669.n2.nabble.com/​ECP-issue-with-current-opensaml-soap-impl-td7629351.html)
Zeile 98: Zeile 103:
 ===== ECP einschränken auf einzelne SPs ===== ===== ECP einschränken auf einzelne SPs =====
  
-Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollstándigkeit ​halber erwähnt, aber falls jemand ein Szenario kennt in dem das sinnvoll ist, bitte melden ​;-), muss in ''/​opt/​shibboleth-idp/​conf/​relying-party.xml''​ im Abschnitt DefaultRelyingParty die Referenz auf das Bean ''​SAML2.ECP''​ auskommentieren und in der Liste der RelyingPartyOverrides eine Konfiguration für diese SPs hinzufügen. Das funktioniert analog zur +Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollständigkeit ​halber erwähnt, aber falls jemand ein Szenario kennt in dem das sinnvoll ist, bitte melden), muss in ''/​opt/​shibboleth-idp/​conf/​relying-party.xml''​ im Abschnitt DefaultRelyingParty die Referenz auf das Bean ''​SAML2.ECP''​ auskommentieren und in der Liste der RelyingPartyOverrides eine Konfiguration für diese SPs hinzufügen. Das funktioniert analog zur 
 [[de:​shibidp3storage|eingeschränkten Freigabe der PersistentID]]. \\ Hier ein Beispiel für bwIDM: [[de:​shibidp3storage|eingeschränkten Freigabe der PersistentID]]. \\ Hier ein Beispiel für bwIDM:
  
  • Zuletzt geändert: vor 8 Wochen