Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp3userdepro [2020/09/17 21:27] hofmann@fu-berlin.dede:shibidp:config-deprovisionierung [2022/01/14 16:44] (aktuell) Wolfgang Pempe
Zeile 2: Zeile 2:
  
 ====== User Deprovisionierung via Attribute Query ====== ====== User Deprovisionierung via Attribute Query ======
 +
 +<callout color="#ff9900" title="Archiv">
 +Dieser Artikel ist ein Community-Beitrag für Shibboleth IdP 3.x. Es ist unklar, ob er für Shibboleth IdP 4.x so noch gilt.
 +</callout>
  
 {{INLINETOC 2}} {{INLINETOC 2}}
Zeile 94: Zeile 98:
             <!-- ... -->             <!-- ... -->
         </Sessions>         </Sessions>
 +        <!-- ... -->
 +        <AttributeResolver type="Query" subjectMatch="true"/>
         <!-- ... -->         <!-- ... -->
     </ApplicationDefaults>     </ApplicationDefaults>
 <!-- ... --> <!-- ... -->
 +
  
 </file> </file>
  
-Vergessen Sie nicht den **"shibdneu zu starten**! \\ Danach kann ein Aufruf z.B. direkt mit CURL durchgeführt werden.+**Vergessen Sie nicht, sowohl den ''shibd'' als auch den Webserver/httpd neu zu starten**! \\ Danach kann ein Aufruf z.B. direkt mit CURL durchgeführt werden.
  
 <code> <code>
Zeile 214: Zeile 221:
     </DataConnector>     </DataConnector>
 <!--...--> <!--...-->
 +
  
 </file> </file>
Zeile 222: Zeile 230:
     idp.attribute.resolver.LDAP.archiveSearchFilter = (uid=$requestContext.principalName)     idp.attribute.resolver.LDAP.archiveSearchFilter = (uid=$requestContext.principalName)
 <!--...--> <!--...-->
 +
  
 </file> </file>
Zeile 231: Zeile 240:
     </AttributeRule>     </AttributeRule>
 <!--...--> <!--...-->
 +
  
 </file> </file>
Zeile 248: Zeile 258:
 Wer darf eigentlich Queries stellen? Wer darf eigentlich Queries stellen?
  
-Da Queries nur mit Angabe der persistentId funktionieren, so kann man per RelyingParty-Config einschränken, dass nur die SPs Queries stellen dürfen für die auch die persistentId freigegeben ist. \\ Dies lässt sich unter Angabe einer [[:de:shibidp3activationcondition|Activation Condition]] simpel lösen. \\+Da Queries nur mit Angabe der persistentId funktionieren, so kann man per RelyingParty-Config einschränken, dass nur die SPs Queries stellen dürfen für die auch die persistentId freigegeben ist. \\ Dies lässt sich unter Angabe einer [[de:shibidp:config-activation-condition|Activation Condition]] simpel lösen. \\
 **ACHTUNG:**  Diese Einstellung ist nur zu empfehlen, wenn **keine SAML1 SPs**  mehr bedient werden!!! **ACHTUNG:**  Diese Einstellung ist nur zu empfehlen, wenn **keine SAML1 SPs**  mehr bedient werden!!!
  
Zeile 276: Zeile 286:
     </util:list>     </util:list>
 <!--...--> <!--...-->
 +
  
 </file> </file>
Zeile 290: Zeile 301:
     </bean>     </bean>
 <!--...--> <!--...-->
 +
  
 </file> </file>
Zeile 306: Zeile 318:
   * Datenschutz + Datensparsamkeit!   * Datenschutz + Datensparsamkeit!
  
-Dazu laden wir uns zunächst folgende JAR-File [[https://cloudstore.zih.tu-dresden.de/index.php/s/RrhJkwDwZOQoKRm|idp-predicate-impl-1.0.0.jar]] herunter und legen diese unter "./edit-webapp/WEB-INF/lib/" ab. \\+Dazu laden wir uns zunächst folgende JAR-File [[https://box.fu-berlin.de/s/tMzEosxrAxp8wtC|idp-predicate-impl-1.0.0.jar]] herunter und legen diese unter "./edit-webapp/WEB-INF/lib/" ab. \\
 Anschließend den IdP neubauen. Anschließend den IdP neubauen.
 <code> <code>
Zeile 354: Zeile 366:
     </bean>     </bean>
 <!--...--> <!--...-->
 +
  
 </file> </file>
Zeile 395: Zeile 408:
     </DataConnector>     </DataConnector>
 <!--...--> <!--...-->
 +
  
 </file> </file>
Zeile 439: Zeile 453:
 ===== Links / Dokumentation ===== ===== Links / Dokumentation =====
  
 +  * [[de:shibidp:config-storage|Server-side Storage und persistent Id]]
   * [[https://www.switch.ch/aai/support/presentations/techupdate-2014/04_Account_Checking.pdf|https://www.switch.ch/aai/support/presentations/techupdate-2014/04_Account_Checking.pdf]]   * [[https://www.switch.ch/aai/support/presentations/techupdate-2014/04_Account_Checking.pdf|https://www.switch.ch/aai/support/presentations/techupdate-2014/04_Account_Checking.pdf]]
-  * [[https://bitbucket.org/PEOFIAMP/shibsp-plugin-attributequery-handler/|https://bitbucket.org/PEOFIAMP/shibsp-plugin-attributequery-handler/]] +  * [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334903/Attribute+Resolver+Handler|Shibboleth Wiki: Attribute Resolver Handler]] 
-  * [[https://wiki.shibboleth.net/confluence/display/IDP30/PersistentNameIDGenerationConfiguration#PersistentNameIDGenerationConfiguration-StoredIDs|https://wiki.shibboleth.net/confluence/display/IDP30/PersistentNameIDGenerationConfiguration#PersistentNameIDGenerationConfiguration-StoredIDs]] +  * [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334902/resolvertest|Shibboleth Wikiresolvertest]] 
-  * [[https://wiki.shibboleth.net/confluence/display/IDP30/SecurityAndNetworking#SecurityAndNetworking-PortsandConnectors|https://wiki.shibboleth.net/confluence/display/IDP30/SecurityAndNetworking#SecurityAndNetworking-PortsandConnectors]]+  * [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631506/SecurityAndNetworking#Back-Channel-Support|Shibboleth WikiIdP 4 Backchannel Support]]
   * [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPAccountChecking|https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPAccountChecking]]   * [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPAccountChecking|https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPAccountChecking]]
-{{tag>idp3}}+ 
 +{{tag>archiv fixme}}
  
  
  • Zuletzt geändert: vor 4 Jahren