SAML1

SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem Attribute-Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben! (er wird auch im SAML2-Kontext verwendet, z.B. für Single-Logout oder SAML2-Attribute-Queries).

Sollte dies aus irgend welchen Gründen nicht möglich sein, kann als Notlösung im IdP auch bei SAML1 auf Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP übertragen. Dies entpricht dem Verfahren bei SAML2, mit dem Unterschied dass die SAML1-Daten nicht verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil der Kommunikation könnte die (u.U. personenbezogenen) Daten des Users abgreifen!

Sollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, wird dies folgendermassen eingestellt:

/conf/relying-party.xml
<!-- die anderen Beans bitte *nicht* löschen -->
<bean parent="Shibboleth.SSO"
      p:postAuthenticationFlows="attribute-release"
      p:includeAttributeStatement="true" />
<!-- ... -->

Sofern nur mit den wenigen verbliebenen SAML1-SPs aus der DFN-AAI kommuniziert werden soll, die keine personenbezogenen Angaben benötigen, kann hierfür ein entsprechender Override definiert werden:

/conf/relying-party.xml
  <!-- hier die Konfiguration für die DefaultRelyingParty -->
 
  <util:list id="shibboleth.RelyingPartyOverrides">
 
     <bean parent="RelyingPartyByName"
         c:relyingPartyIds="#{{'https://auth.galegroup.com/shibboleth', 
               'https://scitation.aip.org/shibboleth',
               'https://www.jbe-platform.com/shibboleth'}}">
         <property name="profileConfigurations">
           <list>
              <bean parent="Shibboleth.SSO"
                    p:postAuthenticationFlows="attribute-release"
                    p:includeAttributeStatement="true" />
           </list>
         </property>
     </bean>
 
  </util:list>
  • Zuletzt geändert: vor 21 Monaten