Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3saml1 [2017/02/07 10:40] – Raoul Gunnar Borenius | de:shibidp3saml1 [2017/02/07 14:07] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== SAML1 ====== | ====== SAML1 ====== | ||
- | SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem SAML-Attribute Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben! | + | SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem Attribute-Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben! |
- | Sollte dies aus irgend welchen Gründen nicht möglich sein kann als Notlösung im IdP auch bei SAML1 auf | + | Sollte dies aus irgend welchen Gründen nicht möglich sein, kann als Notlösung im IdP auch bei SAML1 auf |
Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP | Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP | ||
- | ubertragen. Dies entpricht dem Verfahren bei SAML2 mit dem Unterschied dass die SAML-Daten nicht | + | übertragen. Dies entpricht dem Verfahren bei SAML2, mit dem Unterschied dass die SAML1-Daten nicht |
- | verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil könnte die Daten des Users | + | verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil der Kommunikation |
- | abgreifen. Sollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, wird dies folgendermassen eingestellt: | + | (u.U. personenbezogenen) |
+ | |||
+ | Sollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, | ||
+ | wird dies folgendermassen eingestellt: | ||
<file xml / | <file xml / | ||
Zeile 16: | Zeile 19: | ||
<!-- ... --> | <!-- ... --> | ||
</ | </ | ||
+ | |||
+ | Sofern nur mit den wenigen verbliebenen SAML1-SPs aus der DFN-AAI kommuniziert werden soll, die keine personenbezogenen Angaben benötigen, kann hierfür ein entsprechender Override definiert werden: | ||
+ | |||
+ | <file xml / | ||
+ | |||
+ | <!-- hier die Konfiguration für die DefaultRelyingParty --> | ||
+ | | ||
+ | < | ||
+ | |||
+ | < | ||
+ | | ||
+ | < | ||
+ | < | ||
+ | <bean parent=" | ||
+ | p: | ||
+ | p: | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | </ | ||
+ | |||
+ | </ | ||
+ |