Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3ecp [2017/09/01 12:18]
Raoul Gunnar Borenius
de:shibidp3ecp [2020/05/14 09:24]
Silke Meyer [ECP für BWSync&Share]
Zeile 1: Zeile 1:
-====== Enhanced Client ​and Proxy (ECP) ======+====== Enhanced Client ​or Proxy (ECP) ======
  
-ECP ist im IdP 3.x out-of-the box aktiv.+Die grundlegenden [[https://​wiki.shibboleth.net/​confluence/​display/​CONCEPT/​ECP|Konzepte]] und die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​ECPConfiguration|Konfiguration von ECP]] sind im Shibboleth Wiki dokumentiert. 
 +ECP ist im IdP standardmäßig ​aktiv.
  
-Achten Sie nur darauf dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten ​auch angegeben ist:+Achten Sie daraufdass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen.
  
 {{de:​ecp.png}} {{de:​ecp.png}}
  
-Fehlt dies, finden ECP-Clients den IdP nicht wenn Sie sich anmelden wollen. 
-  
 Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http://​www.cilogon.org/​ecp#​TOC-A-Basic-ECP-IdP-Test-Script|Testscript '​testecp.sh'​]]. Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http://​www.cilogon.org/​ecp#​TOC-A-Basic-ECP-IdP-Test-Script|Testscript '​testecp.sh'​]].
- 
- 
-Siehe auch die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​ECPConfiguration|Dokumentation im Shibboleth Wiki]]. 
  
 Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​PasswordAuthnConfiguration#​PasswordAuthnConfiguration-UserInterface|Dokumentation im Shibboleth Wiki]]. Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​PasswordAuthnConfiguration#​PasswordAuthnConfiguration-UserInterface|Dokumentation im Shibboleth Wiki]].
Zeile 18: Zeile 14:
 ===== ECP für BWSync&​Share ===== ===== ECP für BWSync&​Share =====
  
-Die Im Moment gängigen ​BW-Sync&​Share-Clients kommen mit der default-ECP-Variante ​wie sie der Shibboleth IdP +Viele BW-Sync&​Share-Clients kommen mit der ECP-Variante ​des Shibboleth IdP nicht zurecht. Der ECP-Endpunkt muss für diese Clients noch explizit mit Basic-Auth geschützt werden. Dies kann mithilfe von Apache oder Tomcat gemacht werden. Wir empfehlen ​die deutlich einfachere ​Apache-Variante.
-mitbringt leider ​nicht zurecht ​(Ausnahme: der Powerfolder Iphone-Client scheint zu funktionieren). +
-Der ECP-Endpunkt muss für diese Clients noch explizit mit Basic-Auth geschützt werden. +
-Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache-Variante ​aus unserer Sicht +
-deutlich simpler ist (die Tomcat-Variante finden Sie rechts im Index falls Sie Tomcat ohne Apache betreiben):+
  
 ==== Basic-Auth mithilfe von Apache ==== ==== Basic-Auth mithilfe von Apache ====
Zeile 66: Zeile 58:
 </​code>​ </​code>​
  
-Da dieser Endpunkt weltweit erreichbar sein muss können hier auch Brute-Force-Passwort-Angriffe auftreten. +Da dieser Endpunkt weltweit erreichbar sein musskönnen hier auch Brute-Force-Passwort-Angriffe auftreten. Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki.
-Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki.+
  
-==== Probleme mit Sync&​Share seit Version 3.3.x ==== 
- 
-Ältere Powerfolder-Clients haben Problem bei der ECP-Kommunikation mit dem IdP 3.3.1. 
- 
-Powerfolder hat hier im Juni 2017 nachgebesssert,​ Bitte achten Sie darauf dass Sie den 
-neuesten Client im Einsatz haben damit der Zugriff funktioniert. 
- 
-==== Probleme mit bwLehrppol seit Version 3.3.x ==== 
- 
-Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http://​shibboleth.1660669.n2.nabble.com/​ECP-issue-with-current-opensaml-soap-impl-td7629351.html) 
- 
-Sofern Sie noch nicht den neuesten Client in Verwendung haben wenden Sie sich bitte an [[https://​www.bwlehrpool.de/​|bwLehrpool]]. 
 ===== Funktionstest ===== ===== Funktionstest =====
  
Zeile 101: Zeile 80:
 ===== ECP einschränken auf einzelne SPs ===== ===== ECP einschränken auf einzelne SPs =====
  
-Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollstándigkeit halber ​erwähnt, ​aber falls jemand ein Szenario kennt in dem das sinnvoll ist, bitte melden ;-), muss in ''/​opt/​shibboleth-idp/​conf/​relying-party.xml''​ im Abschnitt DefaultRelyingParty die Referenz auf das Bean ''​SAML2.ECP'' ​auskommentieren und in der Liste der RelyingPartyOverrides eine Konfiguration für diese SPs hinzufügenDas funktioniert analog zur  +Aus unserer Sicht ist es nicht nötig, ​die ECP-Unterstützung auf einzelne SPs einzuschränken. Der Vollständigkeit halber sei hier aber erwähnt, ​wie das geht: 
-[[de:​shibidp3storage|eingeschränkten Freigabe der PersistentID]]. \\ Hier ein Beispiel für bwIDM:+ 
 +Kommentieren Sie ''/​opt/​shibboleth-idp/​conf/​relying-party.xml''​ im Abschnitt DefaultRelyingParty die Referenz auf das Bean ''​SAML2.ECP'' ​aus. Fügen Sie in der Liste der RelyingPartyOverrides eine Konfiguration für diese SPs hinzu
 + 
 +Hier ein Beispiel für bwIDM:
  
 <file xml /​opt/​shibboleth-idp/​conf/​relying-party.xml>​ <file xml /​opt/​shibboleth-idp/​conf/​relying-party.xml>​
Zeile 150: Zeile 132:
 </​file>​ </​file>​
  
 +{{tag>​idp3 idp4 fixme}}
  • Zuletzt geändert: vor 5 Monaten