Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3saml1 [2017/02/07 10:40]
Raoul Gunnar Borenius
de:shibidp3saml1 [2019/10/10 14:59]
Silke Meyer SAML 1 ist veraltet und in der DFN-AAI sind keine SPs mehr, die ausschließlich SAML 1 können.
Zeile 1: Zeile 1:
 ====== SAML1 ====== ====== SAML1 ======
  
-SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem SAML-Attribute Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben!+SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem Attribute-Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben! ​(er wird auch im SAML2-Kontext verwendet, z.B. für Single-Logout oder SAML2-Attribute-Queries).
  
-Sollte dies aus irgend welchen Gründen nicht möglich sein kann als Notlösung im IdP auch bei SAML1 auf+Sollte dies aus irgend welchen Gründen nicht möglich seinkann als Notlösung im IdP auch bei SAML1 auf
 Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP
-ubertragen. Dies entpricht dem Verfahren bei SAML2 mit dem Unterschied dass die SAML-Daten nicht +übertragen. Dies entpricht dem Verfahren bei SAML2mit dem Unterschied dass die SAML1-Daten nicht 
-verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil könnte die Daten des Users +verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil der Kommunikation ​könnte die 
-abgreifenSollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, wird dies folgendermassen eingestellt:​+(u.U. personenbezogenen) ​Daten des Users abgreifen
 + 
 +Sollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, 
 +wird dies folgendermassen eingestellt:​
  
 <file xml /​conf/​relying-party.xml>​ <file xml /​conf/​relying-party.xml>​
Zeile 16: Zeile 19:
 <!-- ... --> <!-- ... -->
 </​file>​ </​file>​
 +
 +Sofern nur mit den wenigen verbliebenen SAML1-SPs aus der DFN-AAI kommuniziert werden soll, die keine personenbezogenen Angaben benötigen, kann hierfür ein entsprechender Override definiert werden:
 +
 +<file xml /​conf/​relying-party.xml>​
 +
 +  <!-- hier die Konfiguration für die DefaultRelyingParty -->
 +  ​
 +  <​util:​list id="​shibboleth.RelyingPartyOverrides">​
 +
 +     <​bean parent="​RelyingPartyByName"​
 +         ​c:​relyingPartyIds="#​{{'​https://​auth.galegroup.com/​shibboleth', ​
 +               '​https://​scitation.aip.org/​shibboleth',​
 +               '​https://​www.jbe-platform.com/​shibboleth'​}}">​
 +         <​property name="​profileConfigurations">​
 +           <​list>​
 +              <bean parent="​Shibboleth.SSO"​
 +                    p:​postAuthenticationFlows="​attribute-release"​
 +                    p:​includeAttributeStatement="​true"​ />
 +           </​list>​
 +         </​property>​
 +     </​bean>​
 +
 +  </​util:​list>​
 +
 +</​file>​
 +