Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:config-encryption [2020/12/15 12:04] – [Liste betroffener Service Provider] Silke Meyerde:shibidp:config-encryption [2024/02/20 08:42] (aktuell) Wolfgang Pempe
Zeile 23: Zeile 23:
  
   * <del>ACS Publications: [[https://pubs.acs.org/shibboleth|https://pubs.acs.org/shibboleth]]</del>   * <del>ACS Publications: [[https://pubs.acs.org/shibboleth|https://pubs.acs.org/shibboleth]]</del>
-  * AIP Scitation: [[https://scitation.aip.org/shibboleth|https://scitation.aip.org/shibboleth]]+  * <del>AIP Scitation: [[https://scitation.aip.org/shibboleth|https://scitation.aip.org/shibboleth]]</del>
   * <del>Atypon (Proxy für verschiedene Verlage): [[https://iam.atypon.com/shibboleth|https://iam.atypon.com/shibboleth]]</del>   * <del>Atypon (Proxy für verschiedene Verlage): [[https://iam.atypon.com/shibboleth|https://iam.atypon.com/shibboleth]]</del>
-  * Brill Online Books and Journals: [[https://booksandjournals.brillonline.com/shibboleth|https://booksandjournals.brillonline.com/shibboleth]]+  * <del>Brill Online Books and Journals: [[https://booksandjournals.brillonline.com/shibboleth|https://booksandjournals.brillonline.com/shibboleth]]</del> 
 +  * Brockhaus https://auth.brockhaus.de/samlauth und https://auth.brockhaus.at/samlauth
   * <del>Cambridge Journals Online: [[https://shibboleth.cambridge.org/shibboleth-sp|https://shibboleth.cambridge.org/shibboleth-sp]]</del>   * <del>Cambridge Journals Online: [[https://shibboleth.cambridge.org/shibboleth-sp|https://shibboleth.cambridge.org/shibboleth-sp]]</del>
 +  * Canto Tenant SPs
   * Cisco Webex Tenant SPs   * Cisco Webex Tenant SPs
   * Citavi Web: [[https://citaviweb.citavi.com/shibboleth|https://citaviweb.citavi.com/shibboleth]]   * Citavi Web: [[https://citaviweb.citavi.com/shibboleth|https://citaviweb.citavi.com/shibboleth]]
-  * De Gruyter: [[https://www.degruyter.com/shibboleth|https://www.degruyter.com/shibboleth]] und https://www.degruyter.com/ssp +  * De Gruyter: [[https://www.degruyter.com/shibboleth|https://www.degruyter.com/shibboleth]] <del>und https://www.degruyter.com/ssp</del> 
-  * Elsevier: [[https://sdauth.sciencedirect.com/|https://sdauth.sciencedirect.com/]] +  * Dropbox: https://dropbox.com/sp 
-  * Emerald Insight: [[https://sp.emerald.com/sp|https://sp.emerald.com/sp]] +  * <del>Elsevier: [[https://sdauth.sciencedirect.com/|https://sdauth.sciencedirect.com/]]</del> 
-  * GÉANT SP Proxy: [[https://terena.org/sp|https://terena.org/sp]] +  * <del>Emerald Insight: [[https://sp.emerald.com/sp|https://sp.emerald.com/sp]]</del> 
-  * Hanser E-Library: [[https://www.hanser-elibrary.com/shibboleth|https://www.hanser-elibrary.com/shibboleth]]+  * Fiori: https://fiori.fhhrz.net (und wahrscheinlich https://test-fiori.fhhrz.net) 
 +  * <del>GÉANT SP Proxy: [[https://terena.org/sp|https://terena.org/sp]]</del> 
 +  * <del>Hanser E-Library: [[https://www.hanser-elibrary.com/shibboleth|https://www.hanser-elibrary.com/shibboleth]]</del>
   * Highwire (Proxy für verschiedene Verlage): [[https://shibboleth.highwire.org/entity/secure-sp|https://shibboleth.highwire.org/entity/secure-sp]]   * Highwire (Proxy für verschiedene Verlage): [[https://shibboleth.highwire.org/entity/secure-sp|https://shibboleth.highwire.org/entity/secure-sp]]
 +  * Hirzel: https://elibrary.hirzel.de
   * Hogrefe E-Library: [[https://elibrary.hogrefe.de|https://elibrary.hogrefe.de]]   * Hogrefe E-Library: [[https://elibrary.hogrefe.de|https://elibrary.hogrefe.de]]
   * IOPScience Online Services: [[https://ticket.iop.org/shibboleth|https://ticket.iop.org/shibboleth]]   * IOPScience Online Services: [[https://ticket.iop.org/shibboleth|https://ticket.iop.org/shibboleth]]
   * Jobteaser-SPs (alle Tenant-SPs)   * Jobteaser-SPs (alle Tenant-SPs)
-  * Karger Publishers: [[https://www.karger.com/oa/entity|https://www.karger.com/oa/entity]]+  * <del>Karger Publishers: [[https://www.karger.com/oa/entity|https://www.karger.com/oa/entity]]</del> 
 +  * Landesnetz Rheinland-Pfalz: https://login.rlp.net/adfs/services/trust
   * Meiner E-Library: [[https://meiner-elibrary.de|https://meiner-elibrary.de]]   * Meiner E-Library: [[https://meiner-elibrary.de|https://meiner-elibrary.de]]
-  * Narr eLibrary: [[https://elibrary.narr.digital|https://elibrary.narr.digital]]+  * <del>Narr eLibrary: [[https://elibrary.narr.digital|https://elibrary.narr.digital]]</del>
   * Nature Publishing: [[https://secure.nature.com/shibboleth|https://secure.nature.com/shibboleth]]   * Nature Publishing: [[https://secure.nature.com/shibboleth|https://secure.nature.com/shibboleth]]
-  * Ovid: https://shibboleth.ovid.com/entity+  * <del>Ovid: https://shibboleth.ovid.com/entity</del>
   * SOP Hilmbauer & Mauberger GmbH & Co KG, Amstetten: https://www.service4mobility.com/europe   * SOP Hilmbauer & Mauberger GmbH & Co KG, Amstetten: https://www.service4mobility.com/europe
-  * Springer Nature: [[https://fsso.springer.com|https://fsso.springer.com]]+  * <del>Springer Nature: [[https://fsso.springer.com|https://fsso.springer.com]]</del>
   * Steiner E-Library: [[https://elibrary.steiner-verlag.de|https://elibrary.steiner-verlag.de]]   * Steiner E-Library: [[https://elibrary.steiner-verlag.de|https://elibrary.steiner-verlag.de]]
   * Thieme: https://prd.thieme.de/shibboleth-sp   * Thieme: https://prd.thieme.de/shibboleth-sp
   * Thomson Reuters - Web of Knowledge and EndNote Web: [[https://sp.tshhosting.com/shibboleth|https://sp.tshhosting.com/shibboleth]]   * Thomson Reuters - Web of Knowledge and EndNote Web: [[https://sp.tshhosting.com/shibboleth|https://sp.tshhosting.com/shibboleth]]
-  * UTB Online Bibliothek[[https://www.utb-studi-e-book.de/websso/metadata|https://www.utb-studi-e-book.de/websso/metadata]]+  * Tivian GmbH (alle Tenant SPs) 
 +  * <del>Toolbox Lehrerbildung: https://toolbox-edx.edu.tum.de/shibboleth</del>
   * Wiley Online Library: [[https://sp.onlinelibrary.wiley.com/shibboleth|https://sp.onlinelibrary.wiley.com/shibboleth]]   * Wiley Online Library: [[https://sp.onlinelibrary.wiley.com/shibboleth|https://sp.onlinelibrary.wiley.com/shibboleth]]
  
Zeile 55: Zeile 62:
   * **IdP 3.4:**  alter Standard ''shibboleth.EncryptionConfiguration.CBC''   * **IdP 3.4:**  alter Standard ''shibboleth.EncryptionConfiguration.CBC''
   * **upgegradeter IdP 4.x:**  alter Standard, wenn der Algorithmus nicht manuell hochgesetzt wird   * **upgegradeter IdP 4.x:**  alter Standard, wenn der Algorithmus nicht manuell hochgesetzt wird
-  * **neu installierter IdP 4.x:**  neuer Standard ''shibboleth.EncryptionConfiguration.GCM''+  * **neu installierter IdP 4.x/5.x:**  neuer Standard ''shibboleth.EncryptionConfiguration.GCM''
 ===== Algorithmus global setzen ===== ===== Algorithmus global setzen =====
  
Zeile 71: Zeile 78:
 ===== Algorithmus pro Profil setzen ===== ===== Algorithmus pro Profil setzen =====
  
-Die folgenden zwei Beispiele zeigen, wie Sie für einen oder mehrere IdPs den alten Algorithmus erlauben (Quelle: [[https://wiki.shibboleth.net/confluence/display/IDP4/SecurityConfiguration|https://wiki.shibboleth.net/confluence/display/IDP4/SecurityConfiguration]]).+Die folgenden zwei Beispiele zeigen, wie Sie für einen oder mehrere SPs den alten Algorithmus erlauben (Quelle: [[https://wiki.shibboleth.net/confluence/display/IDP4/SecurityConfiguration|https://wiki.shibboleth.net/confluence/display/IDP4/SecurityConfiguration]]). 
 + 
 +==== Entity IDs ====
  
 <file xml ./conf/relying-party.xml> <file xml ./conf/relying-party.xml>
 <util:list id="shibboleth.RelyingPartyOverrides"> <util:list id="shibboleth.RelyingPartyOverrides">
  
-  <bean parent="RelyingPartyByName" c:relyingPartyIds="HIER-DIE-ENTITYID-DES-SP">+  <bean parent="RelyingPartyByName" c:relyingPartyIds="#{{'HIER-DIE-ENTITYID-EINES-SP', 'ENTITYID-EINES-WEITEREN-SP', '...usw....'}}">
     <property name="profileConfigurations">     <property name="profileConfigurations">
       <list>       <list>
Zeile 93: Zeile 102:
 </file> </file>
  
-Ein Beispiel mit mehreren SP-EntityIDsmit den Angaben für Post Authentication Flows und NameID-Formate, aber ohne ECP-Schnittstelle und ohne die Erlaubnis für Attribute Queries würde so aussehen:+==== Entity Category ==== 
 + 
 +Hier ein Beispiel, bei dem die abweichende Profil-Konfiguration über die [[http://aai.dfn.de/category/no-aes-gcm-support|Entity Category http://aai.dfn.de/category/no-aes-gcm-support]] gesteuert wird. Die Zuordnung zu dieser Entity Category wird zentral über eine Liste gesteuert, die die [[#liste_betroffener_service_provider|o.g. Entity IDs]] enthält. Hierbei werden auch SPs erfasst, die über die [[de:edugain#konfiguration_idp_sp_aa|eduGAIN Downstream-Metadaten]] in die DFN-AAI kommen. \\ 
 +**Die sonstigen Einstellungen/Parameter müssen den lokalen Bedürfnissen bzw. Gegebenheiten angepasst werden!**
  
 <file xml ./conf/relying-party.xml> <file xml ./conf/relying-party.xml>
 <util:list id="shibboleth.RelyingPartyOverrides"> <util:list id="shibboleth.RelyingPartyOverrides">
  
-  <bean parent="RelyingPartyByName" c:relyingPartyIds="#{{'ENTITYID1', 'ENTITYID2', 'ENTITYID3'}}">+  <bean parent="RelyingPartyByTag"> 
 +    <constructor-arg name="candidates"> 
 +      <list> 
 +        <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" 
 +              p:values="http://aai.dfn.de/category/no-aes-gcm-support"/> 
 +      </list> 
 +    </constructor-arg>
     <property name="profileConfigurations">     <property name="profileConfigurations">
       <list>       <list>
Zeile 113: Zeile 131:
 </util:list> </util:list>
  
 +
 +</file>
 +
 +===== Algorithmus pro Profil setzen, Variante =====
 +
 +Der Algorithmus kann im IDP 4.x auch in der metadata-providers.xml Datei gesetzt werden. In manchen Konfigurationen kann das zur Übersichtlichkeit beitragen, z.B. wenn die relying-party.xml sowieso schon umfangreich ist.
 +
 +<file xml ./conf/metadata-providers.xml>
 +<!-- Metadaten aller SPs der DFN-AAI Produktivföderation -->
 +<MetadataProvider id="DFN_AAI"
 +                xsi:type="FileBackedHTTPMetadataProvider"
 +                backingFile="%{idp.home}/metadata/DFN-AAI-sp-metadata.xml"
 +                metadataURL="https://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml"
 +                maxRefreshDelay="PT2H">
 +
 + <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
 +                 certificateFile="%{idp.home}/credentials/dfn-aai.g2.pem"/>
 +                
 + <MetadataFilter xsi:type="Algorithm">
 + <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" />
 + <Entity>https://auth.brockhaus.de/samlauth</Entity>
 +                <Entity>https://auth.brockhaus.at/samlauth</Entity>
 +                <Entity>https://citaviweb.citavi.com/shibboleth</Entity>
 +                <Entity>https://www.degruyter.com/shibboleth</Entity>
 +                <Entity>https://dropbox.com/sp</Entity>
 + <Entity>https://fiori.fhhrz.net</Entity>
 +                <Entity>https://test-fiori.fhhrz.net</Entity>
 + <Entity>https://shibboleth.highwire.org/entity/secure-sp</Entity>
 + <Entity>https://elibrary.hirzel.de</Entity>
 +                <Entity>https://elibrary.hogrefe.de</Entity>
 + <Entity>https://ticket.iop.org/shibboleth</Entity>
 +                <Entity>https://login.rlp.net/adfs/services/trust</Entity>
 + <Entity>https://meiner-elibrary.de</Entity>
 + <Entity>https://secure.nature.com/shibboleth</Entity>
 + <Entity>https://www.service4mobility.com/europe</Entity>
 + <Entity>https://elibrary.steiner-verlag.de</Entity>
 + <Entity>https://prd.thieme.de/shibboleth-sp</Entity>
 + <Entity>https://sp.tshhosting.com/shibboleth</Entity>
 + <Entity>https://sp.onlinelibrary.wiley.com/shibboleth</Entity>
 +        </MetadataFilter>           
 +                
 +</MetadataProvider>
  
 </file> </file>
Zeile 137: Zeile 197:
 Bei **anderen SP-Implementierungen** existieren i.d.R. ähnliche Mechanismen. Ansonsten hilft ein Blick in die Dokumentation der betreffenden SP-Software oder eine Anfrage beim Customer Support des Herstellers bzw. Plattformbetreibers. Bei **anderen SP-Implementierungen** existieren i.d.R. ähnliche Mechanismen. Ansonsten hilft ein Blick in die Dokumentation der betreffenden SP-Software oder eine Anfrage beim Customer Support des Herstellers bzw. Plattformbetreibers.
  
-{{tag>idp4 tutorial aes-gcm algorithmus verschlüsselung}}+{{tag>idp4 tutorial aes-gcm algorithmus verschlüsselung included-in-ansible}}
  
  
  • Zuletzt geändert: vor 3 Jahren