| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:shibidp:config-encryption [2024/07/26 10:56] – [Algorithmus pro Profil setzen] Link aktualisiert Doreen Liebenau | de:shibidp:config-encryption [2025/03/20 14:46] (aktuell) – [Liste betroffener Service Provider] Andreas Borm |
|---|
| * Canto Tenant SPs | * Canto Tenant SPs |
| * Cisco Webex Tenant SPs | * Cisco Webex Tenant SPs |
| * Citavi Web: [[https://citaviweb.citavi.com/shibboleth|https://citaviweb.citavi.com/shibboleth]] | * <del>Citavi Web: [[https://citaviweb.citavi.com/shibboleth|https://citaviweb.citavi.com/shibboleth]]</del> |
| * De Gruyter: [[https://www.degruyter.com/shibboleth|https://www.degruyter.com/shibboleth]] <del>und https://www.degruyter.com/ssp</del> | * De Gruyter: [[https://www.degruyter.com/shibboleth|https://www.degruyter.com/shibboleth]] <del>und https://www.degruyter.com/ssp</del> |
| * Dropbox: https://dropbox.com/sp | * Dropbox: https://dropbox.com/sp |
| * <del>GÉANT SP Proxy: [[https://terena.org/sp|https://terena.org/sp]]</del> | * <del>GÉANT SP Proxy: [[https://terena.org/sp|https://terena.org/sp]]</del> |
| * <del>Hanser E-Library: [[https://www.hanser-elibrary.com/shibboleth|https://www.hanser-elibrary.com/shibboleth]]</del> | * <del>Hanser E-Library: [[https://www.hanser-elibrary.com/shibboleth|https://www.hanser-elibrary.com/shibboleth]]</del> |
| | * <del>HARICA: |
| | * https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp |
| | * https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp |
| | * https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp</del> |
| * Highwire (Proxy für verschiedene Verlage): [[https://shibboleth.highwire.org/entity/secure-sp|https://shibboleth.highwire.org/entity/secure-sp]] | * Highwire (Proxy für verschiedene Verlage): [[https://shibboleth.highwire.org/entity/secure-sp|https://shibboleth.highwire.org/entity/secure-sp]] |
| * Hirzel: https://elibrary.hirzel.de | * Hirzel: https://elibrary.hirzel.de |
| ===== Algorithmus pro Profil setzen ===== | ===== Algorithmus pro Profil setzen ===== |
| |
| Die folgenden zwei Beispiele zeigen, wie Sie für einen oder mehrere SPs den alten Algorithmus erlauben (Quelle: [[https://wiki.shibboleth.net/confluence/display/IDP4/SecurityConfiguration|https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508797/SecurityConfiguration]]). | Die folgenden zwei Beispiele zeigen, wie Sie für einen oder mehrere SPs den alten Algorithmus erlauben (Quelle: [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199508797/SecurityConfiguration | Shibboleth Wiki]]). |
| |
| ==== Entity IDs ==== | ==== Entity IDs ==== |
| ===== Algorithmus pro Profil setzen, Variante ===== | ===== Algorithmus pro Profil setzen, Variante ===== |
| |
| Der Algorithmus kann im IDP 4.x auch in der metadata-providers.xml Datei gesetzt werden. In manchen Konfigurationen kann das zur Übersichtlichkeit beitragen, z.B. wenn die relying-party.xml sowieso schon umfangreich ist. | Der Algorithmus kann im IDP 5.x auch in der metadata-providers.xml Datei gesetzt werden. In manchen Konfigurationen kann das zur Übersichtlichkeit beitragen, z.B. wenn die relying-party.xml sowieso schon umfangreich ist. |
| |
| <file xml ./conf/metadata-providers.xml> | <file xml ./conf/metadata-providers.xml> |
| |
| </file> | </file> |
| | |
| | Die Reihenfolge der <MetadataFilter/> ist hierbei wichtig. <MetadataFilter/> vom Typ "SignatureValidation" müssen immer vor <MetadataFilter/> vom Typ "Algorithm" definiert werden. |
| |
| ===== Verwendeten Algorithmus im IdP-Log nachvollziehen ===== | ===== Verwendeten Algorithmus im IdP-Log nachvollziehen ===== |
| |
| Ein neu installierter IdP 4.x loggt den verwendeten Algorithmus ins ''idp-audit.log'':<file bash idp-audit.log> | Ein neu installierter IdP 5.x loggt den verwendeten Algorithmus ins ''idp-audit.log'':<file bash idp-audit.log> |
| 127.0.0.2|2020-11-25T09:18:42.067973Z|2020-11-25T09:18:53.319425Z|pingel|https://sp2.local/shibboleth|_f3f9070c525b2e7898b61e4a9c0e3a4b|password|2020-11-25T09:18:47.055896Z|eduPersonEntitlement,samlSubjectID,samlPairwiseID,mail,eduPersonScopedAffiliation|||false|false|AES128-GCM|Redirect|POST||Success||759afa9ead212d7d7f928be18669ff55af4009d6309491145bfcd8c74c5200d8|Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:82.0) Gecko/20100101 Firefox/82.0</file> | 127.0.0.2|2020-11-25T09:18:42.067973Z|2020-11-25T09:18:53.319425Z|pingel|https://sp2.local/shibboleth|_f3f9070c525b2e7898b61e4a9c0e3a4b|password|2020-11-25T09:18:47.055896Z|eduPersonEntitlement,samlSubjectID,samlPairwiseID,mail,eduPersonScopedAffiliation|||false|false|AES128-GCM|Redirect|POST||Success||759afa9ead212d7d7f928be18669ff55af4009d6309491145bfcd8c74c5200d8|Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:82.0) Gecko/20100101 Firefox/82.0</file> |
| |
| Um dieses Logging-Verhalten auch in einem von 3.x aktualisierten IdP 4.x zu bekommen, können Sie die Datei ''conf/audit.xml'' durch die Datei ''dist/conf/audit.xml'' ersetzen. | Um dieses Logging-Verhalten auch in einem von 3.x aktualisierten IdP zu bekommen, können Sie die Datei ''conf/audit.xml'' durch die Datei ''dist/conf/audit.xml'' ersetzen. |
| |
| Außerdem loggt der IdP im Loglevel DEBUG für ''idp.loglevel.messages'' die verschlüsselten Assertions. Dort finden Sie den verwendeten Algorithmus (Ausschnitt gekürzt): | Außerdem loggt der IdP im Loglevel DEBUG für ''idp.loglevel.messages'' die verschlüsselten Assertions. Dort finden Sie den verwendeten Algorithmus (Ausschnitt gekürzt): |