Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp3sealer [2017/03/01 11:02] – Raoul Gunnar Borenius | de:shibidp3sealer [2018/06/25 15:54] – Wolfgang Pempe |
---|
====== Secret Key Management ====== | ====== Secret Key Management ====== |
| |
Der IdP sicher Cookies und andere flüchtige Daten per Verschlüsselung. Die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel sollten aus Sicherheitsgründen regelmässig erneuert werden. | In der Standardeinstellung speichert der Shibboleth IdP Informationen zur Sitzung, User Consent etc. client-seitig (im Browser) in Cookies und ggf. HTML Local Storage, siehe hierzu die [[https://wiki.shibboleth.net/confluence/display/IDP30/StorageConfiguration#StorageConfiguration-ClientStorageService|Dokumentation im Shibboleth Wiki]]. Diese Daten werden durch Verschlüsselung geschützt. Sofern die o.g. Informationen nicht in einer [[de:shibidp3storage#session-informationen_und_user_consent_in_db_ablegen|IdP-seitigen Datenbank]] abgelegt werden, sollten die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel (Keys) aus Sicherheitsgründen regelmäßig erneuert werden. |
| |
Laden Sie unser {{de:update-sealer.sh|Beispiel-Script}} herunter und legen es nach | Laden Sie das [[de:update-sealer-example|Beispiel-Script]] herunter und legen es nach |
| |
<code> | <code> |
./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. | ./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. |
Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter | Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter |
Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäss in Java-properties-Dateien Probleme machen können. | Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäß in Java-properties-Dateien Probleme machen können. |
| |
Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement | Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement |
| |
| === Aufnahme in DFN-AAI-Produktivumgebung === |
| |
| Die Basis-Konfiguration des IdPs ist damit abgeschlossen. Jetzt können Sie den IdP über die Metadatenverwaltung in die Produktivumgebung der DFN-AAI aufnehmen lassen indem Sie |
| |
| * auf der "Edit"-Seite des IdP in der letzten Tabelle ("Föderationen") den Produktivbetrieb anklicken. |
| * das Kästchen bei "DFN-AAI-Test" entfernen. Prinzipiell könnte der IdP weiter in der DFN-AAI-test bleiben, wir empfehlen aber stattdessen ein dauerhaftes Entwicklungs-System zu erstellen und dieses dauerhaft in der DFN-AAI-Test zu belassen. Dieses System sollte identisch zum Produktivsystem sein (also auch auf das gleiche IdM-System zugreifen) damit Sie dort Configurations- und Versions-Änderungen testen können bevor Sie diese auf dem Produktiven vornehmen. |
| * warten bis von uns die Rückmeldung kommt dass Ihr IdP produktiv geschaltet wurde. |
** Weiter geht es mit den [[de:shibidp3attributes|Attribut-Konfigurationen in der DFN-AAI]] ** | ** Weiter geht es mit den [[de:shibidp3attributes|Attribut-Konfigurationen in der DFN-AAI]] ** |