Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp:config-storage [2020/04/16 08:51] – Silke Meyer | de:shibidp:config-storage [2020/07/23 12:27] – [Generierung und Speicherung] Silke Meyer | ||
---|---|---|---|
Zeile 168: | Zeile 168: | ||
Wählen Sie ein Quellattribut aus Ihrem IdM, das **über die Zeit eindeutig** bleibt! Bei OpenLDAP ist das oft die '' | Wählen Sie ein Quellattribut aus Ihrem IdM, das **über die Zeit eindeutig** bleibt! Bei OpenLDAP ist das oft die '' | ||
- | Ein möglicher Workaround: Sie können sich in der '' | + | Ein möglicher Workaround: Sie können sich in der '' |
==== Generierung und Speicherung ==== | ==== Generierung und Speicherung ==== | ||
- | Das gewählte Quellattribut legen Sie in '' | + | Das gewählte Quellattribut legen Sie in '' |
<file properties / | <file properties / | ||
idp.persistentId.sourceAttribute = uid | idp.persistentId.sourceAttribute = uid | ||
# idp.persistentId.useUnfilteredAttributes = true | # idp.persistentId.useUnfilteredAttributes = true | ||
- | # Do *NOT* share the salt with other people, it's like divulging your private key. | ||
- | # idp.persistentId.algorithm = SHA | ||
- | idp.persistentId.salt = MöglichstBeliebigUndGeHeim-mindestens-16bytes | ||
# To use a database, use shibboleth.StoredPersistentIdGenerator | # To use a database, use shibboleth.StoredPersistentIdGenerator | ||
Zeile 186: | Zeile 183: | ||
</ | </ | ||
+ | Der Salt-Hash, mit dem die persistentIds generiert werden, wird aus Sicherheitsgründen in der zugriffsbeschränkten Passwortdatei '' | ||
+ | |||
+ | <file properties / | ||
+ | idp.persistentId.salt = my-very-very-long-hash | ||
+ | </ | ||
==== Generator anschalten ==== | ==== Generator anschalten ==== | ||
Die Generierung der persistentIds muss separat angeschaltet werden. Entfernen Sie dazu den Kommentar bei '' | Die Generierung der persistentIds muss separat angeschaltet werden. Entfernen Sie dazu den Kommentar bei '' | ||
Zeile 315: | Zeile 317: | ||
HINWEIS: Da die persistendId kein SAML-Attribut ist, wird Ihnen diese nach dem Login am IdP nicht in der Liste der zu übertragenden Attribute angezeigt. Erst wenn Sie wieder am Test-SP sind wird Ihnen dort die persistentId, | HINWEIS: Da die persistendId kein SAML-Attribut ist, wird Ihnen diese nach dem Login am IdP nicht in der Liste der zu übertragenden Attribute angezeigt. Erst wenn Sie wieder am Test-SP sind wird Ihnen dort die persistentId, | ||
- | Falls die persistentId nur an ausgewählte SPs übertragen werden soll, so finden sich [[:de:shibidp3pidspecials|hier einige Beispiele]]. | + | Falls die persistentId nur an ausgewählte SPs übertragen werden soll, so finden sich [[de:shibidp: |
**Weiter geht es mit [[: | **Weiter geht es mit [[: | ||
{{tag> | {{tag> |