Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp:config-storage [2021/05/05 15:02] – Silke Meyer | de:shibidp:config-storage [2021/10/20 09:41] – Ergänzung: Umstellung von persistentID auf pairwise-id Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
<- de: | <- de: | ||
~~NOTOC~~ | ~~NOTOC~~ | ||
- | ====== Server-Side Storage und persistentId | + | ====== Server-Side Storage und persistent Id ====== |
{{INLINETOC 2}} | {{INLINETOC 2}} | ||
Zeile 177: | Zeile 177: | ||
<file properties / | <file properties / | ||
idp.persistentId.sourceAttribute = uid | idp.persistentId.sourceAttribute = uid | ||
- | # idp.persistentId.useUnfilteredAttributes | + | # BASE64 will match V2 values, we recommend BASE32 encoding for new installs. |
+ | idp.persistentId.encoding | ||
# To use a database, use shibboleth.StoredPersistentIdGenerator | # To use a database, use shibboleth.StoredPersistentIdGenerator | ||
Zeile 295: | Zeile 296: | ||
===== User Consent zu Attributfreigabe bei Attribute Queries berücksichtigen ===== | ===== User Consent zu Attributfreigabe bei Attribute Queries berücksichtigen ===== | ||
- | Damit bei Attribute Queries Nutzer-Entscheidungen zur Attributfreigabe berücksichtigt werden, muss in ./ | + | Damit bei Attribute Queries Nutzer-Entscheidungen zur Attributfreigabe berücksichtigt werden, muss in '' |
+ | |||
+ | Dann modifizieren Sie die Datei wie folgt: | ||
<file xml ./ | <file xml ./ | ||
Zeile 343: | Zeile 346: | ||
Falls die persistentId nur an ausgewählte SPs übertragen werden soll, so finden sich [[de: | Falls die persistentId nur an ausgewählte SPs übertragen werden soll, so finden sich [[de: | ||
+ | |||
+ | ===== Umstellung auf SAML pairwise-id ===== | ||
+ | Die persistentID und das funktionsanaloge, | ||
+ | * Die pairwise-id hat einen Scope. | ||
+ | * Die Werte werden mit BASE32 statt mit BASE64 kodiert. Sie dürfen also weniger Zeichen enthalten als alte persistentIDs und sind case-insensitive zu behandeln. | ||
+ | |||
+ | Für die Umstellung der persistentID auf die pairwise-id gibt es keinen perfekten Weg. Wir empfehlen folgendes Vorgehen, mit dem Sie vermeiden, alle Service Provider die persistentIDs bestehender Accounts umschreiben zu lassen: | ||
+ | * Ändern Sie im IdP das Encoding der persistentIDs auf BASE32. Damit erreichen Sie, dass **//neu generierte// | ||
+ | # BASE64 will match V2 values, we recommend BASE32 encoding for new installs. | ||
+ | idp.persistentId.encoding = BASE32</ | ||
+ | * Bereits **bestehende persistentIDs** lassen Sie in der Datenbank bestehen, wie sie sind. Aus diesen persistentIDs werden dann zwar nicht standardkonforme SAML pairwise-ids gebildet. Wir gehen allerdings nicht davon aus, dass Service Provider, die die pairwise-id entgegennehmen, | ||
+ | * Übermitteln Sie für die pairwise-id den Wert, der persistentID **mit Scope**. | ||
{{tag> | {{tag> |