Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3ecp [2017/09/01 12:15]
Raoul Gunnar Borenius
de:shibidp3ecp [2019/10/10 15:07] (aktuell)
Silke Meyer
Zeile 1: Zeile 1:
-====== Enhanced Client ​and Proxy (ECP) ======+====== Enhanced Client ​or Proxy (ECP) ====== 
 + 
 +Die grundlegenden Konzepte sind im [[https://​wiki.shibboleth.net/​confluence/​display/​CONCEPT/​ECP|Shibboleth Wiki dokumentiert]].
  
 ECP ist im IdP 3.x out-of-the box aktiv. ECP ist im IdP 3.x out-of-the box aktiv.
Zeile 29: Zeile 31:
  
 <file html /​etc/​apache2/​sites-available/​idp.hochschule-XY.de.conf>​ <file html /​etc/​apache2/​sites-available/​idp.hochschule-XY.de.conf>​
-# Definition des Root-CA-Zertifikates,​ im Beispiel von der DFN-PKI Generation 2 
 # #
-Achtung: stellen Sie sicher dass in /​etc/​ldap/​ldap.conf kein anderes +Definition des LDAP-Server-Root-CA-Zertifikates 
-ROOT-CA-Zertifikat eingetragen ist welche ​diesen Eintrag überschreiben würde!+
 +# ACHTUNG: 
 +
 +# - kann nicht innerhalb des VirtualHost stehen 
 +# - hier im Beispiel von der DFN-PKI Generation 2, muss zur ROOT-CA des LDAP-Server- 
 +#   ​Zertifikates passen! 
 +# - stellen Sie sicher dass in /​etc/​ldap/​ldap.conf kein anderes ROOT-CA-Zertifikat 
 +#   eingetragen ist welches ​diesen Eintrag überschreiben würde!
 # #
 LDAPTrustedGlobalCert CA_BASE64 /​etc/​ssl/​certs/​T-TeleSec_GlobalRoot_Class_2.pem LDAPTrustedGlobalCert CA_BASE64 /​etc/​ssl/​certs/​T-TeleSec_GlobalRoot_Class_2.pem
 +
 <​VirtualHost *:443> <​VirtualHost *:443>
   ServerName ​             idp.hochschule-XY.de:​443   ServerName ​             idp.hochschule-XY.de:​443
Zeile 69: Zeile 78:
 neuesten Client im Einsatz haben damit der Zugriff funktioniert. neuesten Client im Einsatz haben damit der Zugriff funktioniert.
  
-==== Probleme mit bwLehrppol ​seit Version 3.3.x ====+==== Probleme mit bwLehrpool ​seit Version 3.3.x ====
  
 Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http://​shibboleth.1660669.n2.nabble.com/​ECP-issue-with-current-opensaml-soap-impl-td7629351.html) Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http://​shibboleth.1660669.n2.nabble.com/​ECP-issue-with-current-opensaml-soap-impl-td7629351.html)
Zeile 94: Zeile 103:
 ===== ECP einschränken auf einzelne SPs ===== ===== ECP einschränken auf einzelne SPs =====
  
-Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollstándigkeit ​halber erwähnt, aber falls jemand ein Szenario kennt in dem das sinnvoll ist, bitte melden ​;-), muss in ''/​opt/​shibboleth-idp/​conf/​relying-party.xml''​ im Abschnitt DefaultRelyingParty die Referenz auf das Bean ''​SAML2.ECP''​ auskommentieren und in der Liste der RelyingPartyOverrides eine Konfiguration für diese SPs hinzufügen. Das funktioniert analog zur +Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollständigkeit ​halber erwähnt, aber falls jemand ein Szenario kennt in dem das sinnvoll ist, bitte melden), muss in ''/​opt/​shibboleth-idp/​conf/​relying-party.xml''​ im Abschnitt DefaultRelyingParty die Referenz auf das Bean ''​SAML2.ECP''​ auskommentieren und in der Liste der RelyingPartyOverrides eine Konfiguration für diese SPs hinzufügen. Das funktioniert analog zur 
 [[de:​shibidp3storage|eingeschränkten Freigabe der PersistentID]]. \\ Hier ein Beispiel für bwIDM: [[de:​shibidp3storage|eingeschränkten Freigabe der PersistentID]]. \\ Hier ein Beispiel für bwIDM:
  
  • Zuletzt geändert: vor 2 Jahren