Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3saml1 [2017/02/07 14:08]
Wolfgang Pempe
— (aktuell)
Zeile 1: Zeile 1:
-====== SAML1 ====== 
- 
-SAML1 wird per Default unterstützt. Wie beim IdP 2.x dient dazu der Port 8443 auf dem Attribute-Queries von SAML1-SPs beantwortet werden. Wir empfehlen diesen Port auf jeden Fall in Ihrer Firewall freizugeben! (er wird auch im SAML2-Kontext verwendet, z.B. für Single-Logout oder SAML2-Attribute-Queries). 
- 
-Sollte dies aus irgend welchen Gründen nicht möglich sein, kann als Notlösung im IdP auch bei SAML1 auf 
-Attribute-Push umgestellt werden. D.h. die Attribute werden dann über den Webbrowser des Users zum SP 
-übertragen. Dies entpricht dem Verfahren bei SAML2, mit dem Unterschied dass die SAML1-Daten nicht 
-verschlüsselt werden. D.h. der Webbrowser als potentiell unsicherer Teil der Kommunikation könnte die 
-(u.U. personenbezogenen) Daten des Users abgreifen! 
- 
-Sollten Sie trotz dieser Problematik zu dem Schluss kommen dass Sie die SAML1-Attribute pushen wollen, 
-wird dies folgendermassen eingestellt:​ 
- 
-<file xml /​conf/​relying-party.xml>​ 
-<!-- die anderen Beans bitte *nicht* löschen --> 
-<bean parent="​Shibboleth.SSO"​ 
-      p:​postAuthenticationFlows="​attribute-release"​ 
-      p:​includeAttributeStatement="​true"​ /> 
-<!-- ... --> 
-</​file>​ 
- 
-Sofern nur mit den wenigen verbliebenen SAML1-SPs aus der DFN-AAI kommuniziert werden soll, die keine personenbezogenen Angaben benötigen, kann hierfür ein entsprechender Override definiert werden: 
- 
-<file xml /​conf/​relying-party.xml>​ 
- 
-  <!-- hier die Konfiguration für die DefaultRelyingParty --> 
-  ​ 
-  <​util:​list id="​shibboleth.RelyingPartyOverrides">​ 
- 
-     <​bean parent="​RelyingPartyByName"​ 
-         ​c:​relyingPartyIds="#​{{'​https://​auth.galegroup.com/​shibboleth', ​ 
-               '​https://​scitation.aip.org/​shibboleth',​ 
-               '​https://​www.jbe-platform.com/​shibboleth'​}}">​ 
-         <​property name="​profileConfigurations">​ 
-           <​list>​ 
-              <bean parent="​Shibboleth.SSO"​ 
-                    p:​postAuthenticationFlows="​attribute-release"​ 
-                    p:​includeAttributeStatement="​true"​ /> 
-           </​list>​ 
-         </​property>​ 
-     </​bean>​ 
- 
-  </​util:​list>​ 
- 
-</​file>​ 
  
  • Zuletzt geändert: vor 3 Jahren