Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3testzugang_fuer_externe_admins [2016/03/30 13:10] – angelegt Wolfgang Pempe | de:shibidp:config-testzugang [2022/11/28 13:58] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | Das Szenario: | + | ====== Zugriff einzelner User auf bestimmte SPs beschränken ====== |
- | Ein neuer SP soll an den IdP angebunden werden. Der SP wird von einem externen Partner administriert, | + | |
- | Das Problem: Die gleichen Attribute, die für das Login zu dem neuen SP nötig sind, gewähren möglicherweise auch Zugang | + | **Anwendungsfälle:** |
+ | * Ein neuer Service-Provider soll an den Identity-Provider einer Hochschule angebunden werden. Der SP wird von einem externen Partner administriert, dessen Mitarbeitende keine Angehörigen der Hochschule sind. Eine dieser Personen muss jedoch den Zugang | ||
+ | * Für den Zugang zu einem lokalen SP wird ein Funktionsaccount eingerichtet. | ||
+ | * | ||
+ | **Das Problem:** Der Login über einen solchen Gast- oder Funktionsaccount darf keinen Zugriff | ||
- | Lösung: Der IdP wird so konfiguriert, | + | **Die Lösung:** Der Shibboleth-IdP (ab Version 4.1.x) |
- | Dazu ergänzt man im AttributeResolver die Definition der Daten-Konnektoren um eine Aktivierungsbedingung. | + | Hierzu muss zunächst das Modul '' |
+ | |||
+ | < | ||
+ | (Windows) | ||
+ | C: | ||
- | Zuerst legt man eine neue Datei an, in der das Bean mit der Bedingung definiert | + | (Other) |
- | <file xml / | + | $ bin/ |
- | <?xml version=" | + | </ |
+ | |||
+ | Anschließend | ||
+ | |||
+ | <file xml / | ||
<beans xmlns=" | <beans xmlns=" | ||
- | | + | |
- | xmlns: | + | xmlns: |
- | xmlns: | + | |
- | xmlns: | + | |
- | xsi: | + | |
- | http:// | + | |
- | http:// | + | |
- | + | | |
- | <bean id="shibgast_resolver_condition" parent=" | + | |
+ | | ||
+ | | ||
+ | |||
+ | <bean id="shibboleth.context-check.Condition" parent=" | ||
< | < | ||
- | | + | |
- | <bean parent=" | + | |
- | < | + | |
- | | + | < |
- | < | + | |
- | <value> | + | |
- | # | + | < |
- | </ | + | < |
- | </constructor-arg> | + | <entry key=" |
- | </bean> | + | < |
- | </constructor-arg> | + | < |
- | </bean> | + | </list> |
- | < | + | </entry> |
- | </ | + | </map> |
+ | | ||
+ | | ||
+ | </constructor-arg> | ||
+ | </bean> | ||
+ | </ | ||
</ | </ | ||
</ | </ | ||
- | + | ||
- | </beans> | + | |
+ | <!-- ... --> | ||
</ | </ | ||
- | Dabei ist '' | ||
- | Die Bedingung ist erfüllt, wenn der Benutzer sich nicht mit " | ||
+ | Dabei ist '' | ||
+ | * eine Person sich //nicht// mit " | ||
+ | * eine Person auf den fraglichen SP zugreift. | ||
+ | Anders ausgedrückt: | ||
- | Diese Datei muß in '' | + | |
+ | FIXME: Den Kram unten noch überarbeiten | ||
+ | |||
+ | Diese Datei muss in '' | ||
<file xml / | <file xml / | ||
<!-- ... --> | <!-- ... --> | ||
Zeile 59: | Zeile 85: | ||
<file xml / | <file xml / | ||
<!-- ... --> | <!-- ... --> | ||
- | <resolver:DataConnector id=" | + | < |
activationConditionRef=" | activationConditionRef=" | ||
ldapURL=" | ldapURL=" | ||
<!-- ... --> | <!-- ... --> | ||
</ | </ | ||
- | Dieses Attribut | + | Dieses Attribut |
+ | |||
+ | ==== Alternative Activation Condition ==== | ||
+ | |||
+ | Alternativ sollte auch diese Activation-Condition auf Java-Script-Basis funktionieren: | ||
+ | |||
+ | <file xml> | ||
+ | <?xml version=" | ||
+ | <!-- | ||
+ | author: Ramon Pfeiffer | ||
+ | organisation: | ||
+ | email: ramon.pfeiffer@uni-tuebingen.de | ||
+ | date: 2017-08-24 | ||
+ | |||
+ | This file is free to use for any purposes, without any warranty, as long as you keep this comment intact. | ||
+ | --> | ||
+ | <beans | ||
+ | xmlns=" | ||
+ | xmlns: | ||
+ | xmlns: | ||
+ | xmlns: | ||
+ | xmlns: | ||
+ | xsi: | ||
+ | http:// | ||
+ | http:// | ||
+ | |||
+ | <bean | ||
+ | id=" | ||
+ | parent=" | ||
+ | factory-method=" | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | var adminsAndServices = { | ||
+ | // | ||
+ | //" | ||
+ | //" | ||
+ | }; | ||
+ | |||
+ | value = true; | ||
+ | for(admin in adminsAndServices){ | ||
+ | value = value && canAccess(admin, | ||
+ | } | ||
+ | |||
+ | value; | ||
+ | |||
+ | function canAccess(user, | ||
+ | return isAdministratedService(service) || !isServiceAdministrator(user); | ||
+ | } | ||
+ | |||
+ | function isAdministratedService(service){ | ||
+ | rpCtx = profileContext.getSubcontext(" | ||
+ | return rpCtx != null && rpCtx.getRelyingPartyId().equals(service); | ||
+ | } | ||
+ | |||
+ | function isServiceAdministrator(user){ | ||
+ | arCtx = profileContext.getSubcontext(" | ||
+ | return arCtx != null && arCtx.principal.equals(user); | ||
+ | } | ||
+ | ]]> | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Herzlichen Dank an Ramon Pfeiffer aus Tübingen für diese Variante! | ||
+ | {{tag> |