Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp:config-storage [2020/04/14 15:13] – Silke Meyer | de:shibidp:config-storage [2020/09/25 14:52] – [Generierung und Speicherung] Wolfgang Pempe | ||
---|---|---|---|
Zeile 5: | Zeile 5: | ||
Standardmäßig werden Informationen zu Sessions, User Consent (bzgl. Attributfreigabe) und Persistent IDs clientseitig in Cookies abgelegt. Wir betrachten die clientseitige Speicherung nur als initiale " | Standardmäßig werden Informationen zu Sessions, User Consent (bzgl. Attributfreigabe) und Persistent IDs clientseitig in Cookies abgelegt. Wir betrachten die clientseitige Speicherung nur als initiale " | ||
- | <callout color="# | + | <callout color="# |
PersistentIds werden vom IdP pro Useraccount und pro Service Provider automatisch generiert. Sie sind pseudonym und können am SP zur Wiedererkennung und Personalisierung verwendet werden. Nur am IdP ist ist ersichtlich, | PersistentIds werden vom IdP pro Useraccount und pro Service Provider automatisch generiert. Sie sind pseudonym und können am SP zur Wiedererkennung und Personalisierung verwendet werden. Nur am IdP ist ist ersichtlich, | ||
</ | </ | ||
- | <callout color="# | + | <callout color="# |
Bei einer Attribute Query fragt ein Service Provider direkt beim IdP Nutzerdaten ab, also ohne, dass Nutzer*innen einen Loginvorgang angestoßen haben. Dies tun manche SPs, um Informationen darüber zu bekommen, ob Useraccounts am IdP noch aktiv sind. Für Attribute Queries wird gerne die persistentId verwendet. | Bei einer Attribute Query fragt ein Service Provider direkt beim IdP Nutzerdaten ab, also ohne, dass Nutzer*innen einen Loginvorgang angestoßen haben. Dies tun manche SPs, um Informationen darüber zu bekommen, ob Useraccounts am IdP noch aktiv sind. Für Attribute Queries wird gerne die persistentId verwendet. | ||
</ | </ | ||
Zeile 168: | Zeile 168: | ||
Wählen Sie ein Quellattribut aus Ihrem IdM, das **über die Zeit eindeutig** bleibt! Bei OpenLDAP ist das oft die '' | Wählen Sie ein Quellattribut aus Ihrem IdM, das **über die Zeit eindeutig** bleibt! Bei OpenLDAP ist das oft die '' | ||
- | Ein möglicher Workaround: Sie können sich in der '' | + | Ein möglicher Workaround: Sie können sich in der '' |
==== Generierung und Speicherung ==== | ==== Generierung und Speicherung ==== | ||
- | Das gewählte Quellattribut legen Sie in '' | + | |
+ | Das gewählte Quellattribut legen Sie in '' | ||
<file properties / | <file properties / | ||
idp.persistentId.sourceAttribute = uid | idp.persistentId.sourceAttribute = uid | ||
# idp.persistentId.useUnfilteredAttributes = true | # idp.persistentId.useUnfilteredAttributes = true | ||
- | # Do *NOT* share the salt with other people, it's like divulging your private key. | ||
- | # idp.persistentId.algorithm = SHA | ||
- | idp.persistentId.salt = MöglichstBeliebigUndGeHeim-mindestens-16bytes | ||
# To use a database, use shibboleth.StoredPersistentIdGenerator | # To use a database, use shibboleth.StoredPersistentIdGenerator | ||
Zeile 184: | Zeile 182: | ||
# For basic use, set this to a JDBC DataSource bean name: | # For basic use, set this to a JDBC DataSource bean name: | ||
idp.persistentId.dataSource = shibboleth.MySQLDataSource | idp.persistentId.dataSource = shibboleth.MySQLDataSource | ||
+ | |||
</ | </ | ||
+ | |||
+ | Der Salt-Hash, mit dem die persistentIds generiert werden, wird aus Sicherheitsgründen in der zugriffsbeschränkten Passwortdatei '' | ||
+ | |||
+ | <file properties / | ||
+ | idp.persistentId.salt = my-very-very-long-hash | ||
+ | |||
+ | </ | ||
+ | |||
==== Generator anschalten ==== | ==== Generator anschalten ==== | ||
Zeile 308: | Zeile 315: | ||
<code bash> | <code bash> | ||
- | root@idp:/ | + | root@idp:/ |
</ | </ | ||
Zeile 315: | Zeile 322: | ||
HINWEIS: Da die persistendId kein SAML-Attribut ist, wird Ihnen diese nach dem Login am IdP nicht in der Liste der zu übertragenden Attribute angezeigt. Erst wenn Sie wieder am Test-SP sind wird Ihnen dort die persistentId, | HINWEIS: Da die persistendId kein SAML-Attribut ist, wird Ihnen diese nach dem Login am IdP nicht in der Liste der zu übertragenden Attribute angezeigt. Erst wenn Sie wieder am Test-SP sind wird Ihnen dort die persistentId, | ||
- | Falls die persistentId nur an ausgewählte SPs übertragen werden soll, so finden sich [[:de:shibidp3pidspecials|hier einige Beispiele]]. | + | Falls die persistentId nur an ausgewählte SPs übertragen werden soll, so finden sich [[de:shibidp: |
- | + | ||
- | **Weiter geht es mit [[: | + | |
+ | **Weiter geht es mit [[: | ||
+ | {{tag> |