Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:config-encryption [2022/05/03 16:40] – Wolfgang Pempe
+++ de:shibidp:config-encryption [2025/03/20 14:46] (aktuell) – [Liste betroffener Service Provider] Andreas Borm
@@ Zeile 28: / Zeile 28: @@
   * Brockhaus https://auth.brockhaus.de/samlauth und https://auth.brockhaus.at/samlauth
   * <del>Cambridge Journals Online: [[https://shibboleth.cambridge.org/shibboleth-sp|https://shibboleth.cambridge.org/shibboleth-sp]]</del>
+  * Canto Tenant SPs
   * Cisco Webex Tenant SPs
-  * Citavi Web: [[https://citaviweb.citavi.com/shibboleth|https://citaviweb.citavi.com/shibboleth]]
+  * <del>Citavi Web: [[https://citaviweb.citavi.com/shibboleth|https://citaviweb.citavi.com/shibboleth]]</del>
-  * De Gruyter: [[https://www.degruyter.com/shibboleth|https://www.degruyter.com/shibboleth]] und https://www.degruyter.com/ssp
+  * De Gruyter: [[https://www.degruyter.com/shibboleth|https://www.degruyter.com/shibboleth]] <del>und https://www.degruyter.com/ssp</del>
   * Dropbox: https://dropbox.com/sp
-  * Elsevier: [[https://sdauth.sciencedirect.com/|https://sdauth.sciencedirect.com/]]
+  * <del>Elsevier: [[https://sdauth.sciencedirect.com/|https://sdauth.sciencedirect.com/]]</del>
-  * Emerald Insight: [[https://sp.emerald.com/sp|https://sp.emerald.com/sp]]
+  * <del>Emerald Insight: [[https://sp.emerald.com/sp|https://sp.emerald.com/sp]]</del>
   * Fiori: https://fiori.fhhrz.net (und wahrscheinlich https://test-fiori.fhhrz.net)
   * <del>GÉANT SP Proxy: [[https://terena.org/sp|https://terena.org/sp]]</del>
   * <del>Hanser E-Library: [[https://www.hanser-elibrary.com/shibboleth|https://www.hanser-elibrary.com/shibboleth]]</del>
+  * <del>HARICA:
+    * https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp
+    * https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp
+    * https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp</del>
   * Highwire (Proxy für verschiedene Verlage): [[https://shibboleth.highwire.org/entity/secure-sp|https://shibboleth.highwire.org/entity/secure-sp]]
   * Hirzel: https://elibrary.hirzel.de
@@ Zeile 42: / Zeile 47: @@
   * IOPScience Online Services: [[https://ticket.iop.org/shibboleth|https://ticket.iop.org/shibboleth]]
   * Jobteaser-SPs (alle Tenant-SPs)
-  * Karger Publishers: [[https://www.karger.com/oa/entity|https://www.karger.com/oa/entity]]
+  * <del>Karger Publishers: [[https://www.karger.com/oa/entity|https://www.karger.com/oa/entity]]</del>
   * Landesnetz Rheinland-Pfalz: https://login.rlp.net/adfs/services/trust
   * Meiner E-Library: [[https://meiner-elibrary.de|https://meiner-elibrary.de]]
-  * Narr eLibrary: [[https://elibrary.narr.digital|https://elibrary.narr.digital]]
+  * <del>Narr eLibrary: [[https://elibrary.narr.digital|https://elibrary.narr.digital]]</del>
   * Nature Publishing: [[https://secure.nature.com/shibboleth|https://secure.nature.com/shibboleth]]
-  * Ovid: https://shibboleth.ovid.com/entity
+  * <del>Ovid: https://shibboleth.ovid.com/entity</del>
+  * Rosetta Stone - https://sp.rosettastone.com/platform
   * SOP Hilmbauer & Mauberger GmbH & Co KG, Amstetten: https://www.service4mobility.com/europe
-  * Springer Nature: [[https://fsso.springer.com|https://fsso.springer.com]]
+  * <del>Springer Nature: [[https://fsso.springer.com|https://fsso.springer.com]]</del>
   * Steiner E-Library: [[https://elibrary.steiner-verlag.de|https://elibrary.steiner-verlag.de]]
   * Thieme: https://prd.thieme.de/shibboleth-sp
   * Thomson Reuters - Web of Knowledge and EndNote Web: [[https://sp.tshhosting.com/shibboleth|https://sp.tshhosting.com/shibboleth]]
+  * Tivian GmbH (alle Tenant SPs)
   * <del>Toolbox Lehrerbildung: https://toolbox-edx.edu.tum.de/shibboleth</del>
   * Wiley Online Library: [[https://sp.onlinelibrary.wiley.com/shibboleth|https://sp.onlinelibrary.wiley.com/shibboleth]]
@@ Zeile 60: / Zeile 67: @@
   * **IdP 3.4:**  alter Standard ''shibboleth.EncryptionConfiguration.CBC''
   * **upgegradeter IdP 4.x:**  alter Standard, wenn der Algorithmus nicht manuell hochgesetzt wird
-  * **neu installierter IdP 4.x:**  neuer Standard ''shibboleth.EncryptionConfiguration.GCM''
+  * **neu installierter IdP 4.x/5.x:**  neuer Standard ''shibboleth.EncryptionConfiguration.GCM''
 ===== Algorithmus global setzen =====
@@ Zeile 76: / Zeile 83: @@
 ===== Algorithmus pro Profil setzen =====
-Die folgenden zwei Beispiele zeigen, wie Sie für einen oder mehrere SPs den alten Algorithmus erlauben (Quelle: [[https://wiki.shibboleth.net/confluence/display/IDP4/SecurityConfiguration|https://wiki.shibboleth.net/confluence/display/IDP4/SecurityConfiguration]]).
+Die folgenden zwei Beispiele zeigen, wie Sie für einen oder mehrere SPs den alten Algorithmus erlauben (Quelle: [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508797/SecurityConfiguration | Shibboleth Wiki]]).
 ==== Entity IDs ====
@@ Zeile 134: / Zeile 141: @@
 ===== Algorithmus pro Profil setzen, Variante =====
-Der Algorithmus kann im IDP 4.x auch in der metadata-providers.xml Datei gesetzt werden. In manchen Konfigurationen kann das zur Übersichtlichkeit beitragen, z.B. wenn die relying-party.xml sowieso schon umfangreich ist.
+Der Algorithmus kann im IDP 5.x auch in der metadata-providers.xml Datei gesetzt werden. In manchen Konfigurationen kann das zur Übersichtlichkeit beitragen, z.B. wenn die relying-party.xml sowieso schon umfangreich ist.
 <file xml ./conf/metadata-providers.xml>
@@ Zeile 149: / Zeile 156: @@
 	<MetadataFilter xsi:type="Algorithm">
 		<md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" />
-		<Entity>https://scitation.aip.org/shibboleth</Entity>
+		<Entity>https://auth.brockhaus.de/samlauth</Entity>
-		<Entity>https://booksandjournals.brillonline.com/shibboleth</Entity>
+                <Entity>https://auth.brockhaus.at/samlauth</Entity>
-		<Entity>https://citaviweb.citavi.com/shibboleth</Entity>
+                <Entity>https://citaviweb.citavi.com/shibboleth</Entity>
+                <Entity>https://www.degruyter.com/shibboleth</Entity>
                 <Entity>https://dropbox.com/sp</Entity>
-		<Entity>https://www.degruyter.com/shibboleth</Entity>
+		<Entity>https://fiori.fhhrz.net</Entity>
-		<Entity>https://www.degruyter.com/ssp</Entity>
+                <Entity>https://test-fiori.fhhrz.net</Entity>
-		<Entity>https://sdauth.sciencedirect.com/</Entity>
-		<Entity>https://sp.emerald.com/sp</Entity>
-		<Entity>https://terena.org/sp</Entity>
-		<Entity>https://www.hanser-elibrary.com/shibboleth</Entity>
 		<Entity>https://shibboleth.highwire.org/entity/secure-sp</Entity>
-		<Entity>https://elibrary.hogrefe.de</Entity>
+		<Entity>https://elibrary.hirzel.de</Entity>
+                <Entity>https://elibrary.hogrefe.de</Entity>
 		<Entity>https://ticket.iop.org/shibboleth</Entity>
-		<Entity>https://www.karger.com/oa/entity</Entity>
+                <Entity>https://login.rlp.net/adfs/services/trust</Entity>
-		<Entity>https://meiner-elibrary.de/</Entity>
+		<Entity>https://meiner-elibrary.de</Entity>
-		<Entity>https://elibrary.narr.digital</Entity>
 		<Entity>https://secure.nature.com/shibboleth</Entity>
-		<Entity>https://shibboleth.ovid.com/entity</Entity>
 		<Entity>https://www.service4mobility.com/europe</Entity>
-		<Entity>https://fsso.springer.com</Entity>
 		<Entity>https://elibrary.steiner-verlag.de</Entity>
 		<Entity>https://prd.thieme.de/shibboleth-sp</Entity>
 		<Entity>https://sp.tshhosting.com/shibboleth</Entity>
-		<Entity>https://www.utb-studi-e-book.de/websso/metadata</Entity>
 		<Entity>https://sp.onlinelibrary.wiley.com/shibboleth</Entity>
-                <Entity>https://login.rlp.net/adfs/services/trust</Entity>
+        </MetadataFilter>
-	</MetadataFilter>
 </MetadataProvider>
 </file>
+Die Reihenfolge der <MetadataFilter/> ist hierbei wichtig. <MetadataFilter/> vom Typ "SignatureValidation" müssen immer vor <MetadataFilter/> vom Typ "Algorithm" definiert werden.
 ===== Verwendeten Algorithmus im IdP-Log nachvollziehen =====
-Ein neu installierter IdP 4.x loggt den verwendeten Algorithmus ins ''idp-audit.log'':<file bash idp-audit.log>
+Ein neu installierter IdP 5.x loggt den verwendeten Algorithmus ins ''idp-audit.log'':<file bash idp-audit.log>
 .0.0.2|2020-11-25T09:18:42.067973Z|2020-11-25T09:18:53.319425Z|pingel|https://sp2.local/shibboleth|_f3f9070c525b2e7898b61e4a9c0e3a4b|password|2020-11-25T09:18:47.055896Z|eduPersonEntitlement,samlSubjectID,samlPairwiseID,mail,eduPersonScopedAffiliation|||false|false|AES128-GCM|Redirect|POST||Success||759afa9ead212d7d7f928be18669ff55af4009d6309491145bfcd8c74c5200d8|Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:82.0) Gecko/20100101 Firefox/82.0</file>
-Um dieses Logging-Verhalten auch in einem von 3.x aktualisierten IdP 4.x zu bekommen, können Sie die Datei ''conf/audit.xml'' durch die Datei ''dist/conf/audit.xml'' ersetzen.
+Um dieses Logging-Verhalten auch in einem von 3.x aktualisierten IdP zu bekommen, können Sie die Datei ''conf/audit.xml'' durch die Datei ''dist/conf/audit.xml'' ersetzen.
 Außerdem loggt der IdP im Loglevel DEBUG für ''idp.loglevel.messages'' die verschlüsselten Assertions. Dort finden Sie den verwendeten Algorithmus (Ausschnitt gekürzt):

idp4 tutorial aes-gcm algorithmus verschluesselung included-in-ansible