Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp:config-extensions-oidc [2023/05/25 14:47] – [Troubleshooting] Typo Silke Meyerde:shibidp:config-extensions-oidc [2024/12/06 13:37] (aktuell) Wolfgang Pempe
Zeile 134: Zeile 134:
 </file> </file>
  
-Erzeugen Sie die JSON Web Keys:<code bash>root@idp:~# /opt/shibboleth-idp/bin/jwtgen.sh -t RSA -s 2048 -u sig -i defaultRSASign | tail -n +2 >/opt/shibboleth-idp/credentials/idp-signing-rs.jwk+Erzeugen Sie die JSON Web Keys:<code bash>root@idp:~# /opt/shibboleth-idp/bin/jwtgen.sh -t RSA -s 3072 -u sig -i defaultRSASign | tail -n +2 >/opt/shibboleth-idp/credentials/idp-signing-rs.jwk
 root@idp:~# /opt/shibboleth-idp/bin/jwtgen.sh -t EC -c P-256 -u sig -i defaultECSign | tail -n +2 >/opt/shibboleth-idp/credentials/idp-signing-es.jwk root@idp:~# /opt/shibboleth-idp/bin/jwtgen.sh -t EC -c P-256 -u sig -i defaultECSign | tail -n +2 >/opt/shibboleth-idp/credentials/idp-signing-es.jwk
-root@idp:~# /opt/shibboleth-idp/bin/jwtgen.sh -t RSA -s 2048 -u enc -i defaultRSAEnc | tail -n +2 >/opt/shibboleth-idp/credentials/idp-encryption-rsa.jwk</code>+root@idp:~# /opt/shibboleth-idp/bin/jwtgen.sh -t RSA -s 3072 -u enc -i defaultRSAEnc | tail -n +2 >/opt/shibboleth-idp/credentials/idp-encryption-rsa.jwk</code>
  
 Setzen Sie eine Issuer ID in der Datei ''/opt/shibboleth-idp/conf/oidc.properties'':<file xml /opt/shibboleth-idp/conf/oidc.properties>... Setzen Sie eine Issuer ID in der Datei ''/opt/shibboleth-idp/conf/oidc.properties'':<file xml /opt/shibboleth-idp/conf/oidc.properties>...
Zeile 152: Zeile 152:
         <property name="profileConfigurations">         <property name="profileConfigurations">
             <list>             <list>
-                <bean parent="OIDC.Configuration" />+                <ref bean="OIDC.Configuration" />
                 <!-- <bean parent="SAML2.SSO" p:encryptAssertions="false" /> -->                 <!-- <bean parent="SAML2.SSO" p:encryptAssertions="false" /> -->
             </list>             </list>
Zeile 181: Zeile 181:
         <property name="profileConfigurations">         <property name="profileConfigurations">
             <list>             <list>
-                <bean parent="OIDC.Configuration" /> +                <ref bean="OIDC.Configuration" /> 
-                <bean parent="OIDC.Keyset" />+                <ref bean="OIDC.Keyset" />
                 <!-- <bean parent="SAML2.SSO" p:encryptAssertions="false" /> -->                 <!-- <bean parent="SAML2.SSO" p:encryptAssertions="false" /> -->
             </list>             </list>
Zeile 310: Zeile 310:
  
 # Where to store the dynamically registered client information -> Datenbank # Where to store the dynamically registered client information -> Datenbank
-idp.oidc.dynreg.StorageService = shibboleth.JPAStorageService+idp.oidc.dynreg.StorageService = JDBCStorageService
 </code> </code>
  
Zeile 323: Zeile 323:
                     p:implicitFlowEnabled="false"                     p:implicitFlowEnabled="false"
                     />                     />
-                <bean parent="OIDC.Configuration" /> +                <ref bean="OIDC.Configuration" /> 
-                <bean parent="OIDC.Keyset" />+                <ref bean="OIDC.Keyset" />
             </list>             </list>
         </property>         </property>
Zeile 560: Zeile 560:
 **Achtung:** Sollten Sie später die Token-Verschlüsselung wieder aus der Konfiguration herausnehmen, achten Sie darauf, dass auf beiden Seiten auch die Informationen zu Signaturalgorithmen und Schlüsselmaterial aus den Metadaten der Gegenstelle entfernt werden müssen, sonst wird weiterhin versucht, die Tokens zu verschlüsseln. **Achtung:** Sollten Sie später die Token-Verschlüsselung wieder aus der Konfiguration herausnehmen, achten Sie darauf, dass auf beiden Seiten auch die Informationen zu Signaturalgorithmen und Schlüsselmaterial aus den Metadaten der Gegenstelle entfernt werden müssen, sonst wird weiterhin versucht, die Tokens zu verschlüsseln.
 ===== Weitere Hinweise ===== ===== Weitere Hinweise =====
-Das OIDC-Plugin unterstützt bislang noch kein Logout, und die OIDC-RPs werden auch nicht auf der Logout-Seite angezeigt:+<del>Das OIDC-Plugin unterstützt bislang noch kein Logout, und die OIDC-RPs werden auch nicht auf der Logout-Seite angezeigt:
 https://issues.shibboleth.net/jira/browse/JOIDC-13 https://issues.shibboleth.net/jira/browse/JOIDC-13
 +</del>
 +
 +Ab der Version 4.1 wird jetzt auch OPLogout unterstützt. Näheres dazu findet sich unter https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3466559581/OPLogout
 +
  
 Die OIDC-Attribute werden im Attribute Release bislang nur mit englischen Beschreibungstexten angezeigt. Zur Korrektur müssen die entsprechenden deutschen Beschreibungstexte unter ''/opt/shibboleth-idp/conf/attributes/oidc-claim-rules.xml'' ergänzt werden. Die OIDC-Attribute werden im Attribute Release bislang nur mit englischen Beschreibungstexten angezeigt. Zur Korrektur müssen die entsprechenden deutschen Beschreibungstexte unter ''/opt/shibboleth-idp/conf/attributes/oidc-claim-rules.xml'' ergänzt werden.
  • Zuletzt geändert: vor 22 Monaten