Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3saml1 [2017/02/07 10:40] Raoul Gunnar Boreniusde:shibidp3saml1 [2017/02/07 14:07] Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== SAML1 ====== ====== SAML1 ======
  
-SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem SAML-Attribute Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben!+SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem Attribute-Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben! (er wird auch im SAML2-Kontext verwendet, z.B. für Single-Logout oder SAML2-Attribute-Queries).
  
-Sollte dies aus irgend welchen Gründen nicht möglich sein kann als Notlösung im IdP auch bei SAML1 auf+Sollte dies aus irgend welchen Gründen nicht möglich seinkann als Notlösung im IdP auch bei SAML1 auf
 Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP
-ubertragen. Dies entpricht dem Verfahren bei SAML2 mit dem Unterschied dass die SAML-Daten nicht +übertragen. Dies entpricht dem Verfahren bei SAML2mit dem Unterschied dass die SAML1-Daten nicht 
-verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil könnte die Daten des Users +verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil der Kommunikation könnte die 
-abgreifenSollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, wird dies folgendermassen eingestellt:+(u.U. personenbezogenen) Daten des Users abgreifen
 + 
 +Sollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, 
 +wird dies folgendermassen eingestellt:
  
 <file xml /conf/relying-party.xml> <file xml /conf/relying-party.xml>
Zeile 16: Zeile 19:
 <!-- ... --> <!-- ... -->
 </file> </file>
 +
 +Sofern nur mit den wenigen verbliebenen SAML1-SPs aus der DFN-AAI kommuniziert werden soll, die keine personenbezogenen Angaben benötigen, kann hierfür ein entsprechender Override definiert werden:
 +
 +<file xml /conf/relying-party.xml>
 +
 +  <!-- hier die Konfiguration für die DefaultRelyingParty -->
 +  
 +  <util:list id="shibboleth.RelyingPartyOverrides">
 +
 +     <bean parent="RelyingPartyByName"
 +         c:relyingPartyIds="#{{'https://auth.galegroup.com/shibboleth', 'https://scitation.aip.org/shibboleth', 'https://www.jbe-platform.com/shibboleth'}}">
 +         <property name="profileConfigurations">
 +           <list>
 +              <bean parent="Shibboleth.SSO"
 +                    p:postAuthenticationFlows="attribute-release"
 +                    p:includeAttributeStatement="true" />
 +           </list>
 +         </property>
 +     </bean>
 +
 +  </util:list>
 +
 +</file>
 +