Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3slo [2017/03/01 16:09] – Raoul Gunnar Borenius
+++ de:shibidp3slo [2021/05/03 13:51] (aktuell) – veralteten Inhalt gelöscht Silke Meyer
@@ Zeile 1: / Zeile 1: @@
-====== Single Logout ======
-Da wir im vorherigen Schritt das Speichern von Session-Informationen so umgestellt haben dass eine lokale SQL-Datenbank verwendet wird, kann nun auch SLO im IdP aktiviert werden:
-<file properties /opt/shibboleth-idp/conf/idp.properties>
-# Track information about SPs logged into
-idp.session.trackSPSessions = true
-# Support lookup by SP for SAML logout
-idp.session.secondaryServiceIndex = true
-# damit der User eine ausführliche Logout-Rückmeldung vom IdP bekommt:
-# Whether to lookup metadata, etc. for every SP involved in a logout
-# for use by user interface logic; adds overhead so off by default.
-idp.logout.elaboration = true
-</file>
-Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
-<code bash>
-root@idp:~# service tomcat8 restart
-</code>
-Die Logout-Seite enthält eine Bemerkung der Shibboleth-Entwickler dass die Seite angepasst werden soll.
-Diese Bemerkung sollte ersetzt oder zumindest deaktiviert werden. Löschen Sie die entsprechenden Zeilen oder kommentieren Sie diese aus wie folgt aus (oder ersetzen Sie den Text durch einen eigenen sofern Sie Ihren Usern an dieser Stelle etwas mitteilen möchten):
-<file html ./views/logout.vm>
-  <!-- ... -->
-  <div class="content">
-    <div class="column one">
-      <!--
-      <p>This page is displayed when a logout operation at the Identity Provider completes. This page is an example
-      and should be customized. It is not fully internationalized because the presentation will be a highly localized
-      decision, and we don't have a good suggestion for a default.</p>
-      <br>
-      -->
-      #if ( $logoutContext and !$logoutContext.getSessionMap().isEmpty() )
-  <!-- ... -->
-</file>
-Diese Änderung wird ohne Neustart wirksam.
-Testen Sie den Logout mithilfe des DFN-Test-SP2. Nach dem Login finden Sie unterhalb der Attribute
-den "Logout"-Link welcher Sie zum IdP zurückleiten sollte. Dort sollte dann die Erfolgsmeldung für
-den Logout angezeigt werden.
-**Achtung:** Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren bitte in der Apache-Konfiguration prüfen, dass die richtige X-FRAME-OPTION "SAMEORIGIN" gesetzt ist, siehe auch [[de:shibidp3prepare#http_server|HTTP Server]].
-Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die [[https://wiki.shibboleth.net/confluence/display/IDP30/LogoutConfiguration|Dokumentation im Shibboleth-Wiki]].
-**Besonderheit IIS-basierter SP** \\
-IIS liefert beim Logout einen HTTP-Fehler 404 zurück:
-  * Entweder die Konfiguration des IIS anpassen, wie unter https://support.microsoft.com/en-us/kb/942071 beschrieben
-  * In der Metadatenverwaltung beim IdP das HTTP-Redirect Binding für Single Logout entfernen ([[https://issues.shibboleth.net/jira/browse/SSPCPP-637|SSPCPP-637]])
-Testen Sie nochmal einen Login mithilfe der DFN-Test-SP(s) und überzeugen Sie sich dass Single Logout funktioniert.
-Jetzt können Sie den IdP über die Metadatenverwaltung in die Produktivumgebung der DFN-AAI aufnehmen lassen indem Sie
-  * auf der "Edit"-Seite des IdP in der letzten Tabelle ("Föderationen") den Produktivbetrieb anklicken.
-  * das Kästchen bei "DFN-AAI-Test" weiter aktiv lassen. Der IdP kann problemlos gleichzeitig im Produktiv- und Testbereich aktiv sein. Sie behalten damit die Möglichkeit neue Attribut-Konfigurationen mithilfe unserer Test-SPs zu überprüfen.
-  * warten bis von uns die Rückmeldung kommt dass Ihr IdP produktiv geschaltet wurde.
-In der Zwischenzeit sollten Sie sich noch um das [[de:shibidp3sealer|Secret-Key-Management]] kümmern **