Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
de:shibidp3saml1 [2017/02/07 14:08] Wolfgang Pempede:shibidp3saml1 [2019/10/10 14:59] (aktuell) – SAML 1 ist veraltet und in der DFN-AAI sind keine SPs mehr, die ausschließlich SAML 1 können. Silke Meyer
Zeile 1: Zeile 1:
-====== SAML1 ====== 
- 
-SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem Attribute-Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben! (er wird auch im SAML2-Kontext verwendet, z.B. für Single-Logout oder SAML2-Attribute-Queries). 
- 
-Sollte dies aus irgend welchen Gründen nicht möglich sein, kann als Notlösung im IdP auch bei SAML1 auf 
-Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP 
-übertragen. Dies entpricht dem Verfahren bei SAML2, mit dem Unterschied dass die SAML1-Daten nicht 
-verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil der Kommunikation könnte die 
-(u.U. personenbezogenen) Daten des Users abgreifen! 
- 
-Sollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, 
-wird dies folgendermassen eingestellt: 
- 
-<file xml /conf/relying-party.xml> 
-<!-- die anderen Beans bitte *nicht* löschen --> 
-<bean parent="Shibboleth.SSO" 
-      p:postAuthenticationFlows="attribute-release" 
-      p:includeAttributeStatement="true" /> 
-<!-- ... --> 
-</file> 
- 
-Sofern nur mit den wenigen verbliebenen SAML1-SPs aus der DFN-AAI kommuniziert werden soll, die keine personenbezogenen Angaben benötigen, kann hierfür ein entsprechender Override definiert werden: 
- 
-<file xml /conf/relying-party.xml> 
- 
-  <!-- hier die Konfiguration für die DefaultRelyingParty --> 
-   
-  <util:list id="shibboleth.RelyingPartyOverrides"> 
- 
-     <bean parent="RelyingPartyByName" 
-         c:relyingPartyIds="#{{'https://auth.galegroup.com/shibboleth',  
-               'https://scitation.aip.org/shibboleth', 
-               'https://www.jbe-platform.com/shibboleth'}}"> 
-         <property name="profileConfigurations"> 
-           <list> 
-              <bean parent="Shibboleth.SSO" 
-                    p:postAuthenticationFlows="attribute-release" 
-                    p:includeAttributeStatement="true" /> 
-           </list> 
-         </property> 
-     </bean> 
- 
-  </util:list> 
- 
-</file> 
  
  • Zuletzt geändert: vor 9 Jahren