Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:config-advanced:config-azure [2024/03/15 12:49] – czerner@leuphana.de
+++ de:shibidp:config-advanced:config-azure [2024/12/10 12:32] (aktuell) – czerner@leuphana.de
@@ Zeile 8: / Zeile 8: @@
   - Nach dem Authentifizierungsprozess hat der Benutzer eine gültige Shibboleth-Session gegen den IDP und eine gültige OAuth2-Session gegen das Entra-ID.
   - Man benötigt zur Implementierung einer MFA-Umgebung jetzt nur noch die Token-Konfiguration im Azure. Man spart sich also den PrivacyIdea-Server plus eine zweimalige Einrichtung der Token.
-  - Die Attribute die dem SP übergeben werden, können sowohl aus der lokaeln DB (LDAP) bezogen werden als auch aus dem Entra-ID.
+  - Die Attribute die dem SP übergeben werden, können sowohl aus der lokalen DB (LDAP) bezogen werden, als auch aus dem Entra-ID.
 ===== Wie muss ich mir das vorstellen?  =====
@@ Zeile 165: / Zeile 165: @@
     </util:list>
 </code>
+**ENDE Konfig v4.x -->**
 === Daten ===
 Im ersten Schritt die Attribute des Azure definieren, dazu wird unter conf/attributes eine neue Datei angelegt: {{ :de:shibidp:config-advanced:azureclaims.xml |azureClaims.xml}}
@@ Zeile 214: / Zeile 215: @@
     </util:list>
 </code>
+**ENDE Konfig v4.x --->**
+Nun noch die Attribute zum SP freigeben, Beispiel:
+nano conf/attribute-filter.xml
+<code>
+   <AttributeFilterPolicy id="Carsten">
+        <PolicyRequirementRule xsi:type="OR">
+            <Rule xsi:type="Requester" value="https://DNS/simplesaml" />
+            <Rule xsi:type="Requester" value="https://DNS/simplesaml/module.php/saml/sp/metadata.php/IDP-Q" />
+        </PolicyRequirementRule>
+        <AttributeRule attributeID="uid"                    permitAny="true"/>
+        <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
+        <AttributeRule attributeID="mail"                   permitAny="true"/>
+        <AttributeRule attributeID="surname"                permitAny="true"/>
+        <AttributeRule attributeID="givenName"              permitAny="true"/>
+        <AttributeRule attributeID="sn"              permitAny="true"/>
+        <AttributeRule attributeID="gecos"              permitAny="true"/>
+        <AttributeRule attributeID="eppn"              permitAny="true"/>
+        <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true"/>
+        <AttributeRule attributeID="idmEduGlobalID" permitAny="true"/>
+        <AttributeRule attributeID="idmEduPersonScopedAffiliation" permitAny="true"/>
+        <AttributeRule attributeID="persistentId" permitAny="true"/>
+        <AttributeRule attributeID="subject-id" permitAny="true"/>
+        <AttributeRule attributeID="idmEduPreferredGivenName" permitAny="true"/>
+        <AttributeRule attributeID="idmEduPreferredSurname" permitAny="true"/>
+        <AttributeRule attributeID="eduPersonTargetedID" permitAny="true"/>
+         <AttributeRule attributeID="samlSubjectID" permitAny="true"/>
+         <AttributeRule attributeID="samlPairwiseID" permitAny="true"/>
+            <AttributeRule attributeID="azureTenantid" permitAny="true" />
+    <AttributeRule attributeID="azureEmailaddress" permitAny="true" />
+    <AttributeRule attributeID="azureObjectidentifier" permitAny="true" />
+    <AttributeRule attributeID="azureName" permitAny="true" />
+</AttributeFilterPolicy>
+</code>
+Nun den Tomcat neustarten und es sollte die Anmeldung gelingen und die Daten an den SP übergeben werden. ENDE :)