Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3x509 [2020/05/14 09:48] – Silke Meyer | de:shibidp3x509 [2021/05/03 14:53] – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== X509-Authentifizierung in Shibboleth ====== | ====== X509-Authentifizierung in Shibboleth ====== | ||
+ | <callout color="# | ||
+ | Dieser Artikel ist ein Beitrag für Shibboleth IdP 3.x. Es ist unklar, ob er für Shibboleth IdP 4.x so noch gilt. | ||
+ | </ | ||
Ein Login-Vorgang am Shibboleth-IdP besteht im Allgemeinen aus verschiedenen //Flows//. Nachdem eine Anfrage von einem Service Provider (SP) empfangen wurde, geht der IdP in einen der verfügbaren Flows zur Authentifizierung über. Dabei handelt es sich beispielsweise um den Password-Flow authn/ | Ein Login-Vorgang am Shibboleth-IdP besteht im Allgemeinen aus verschiedenen //Flows//. Nachdem eine Anfrage von einem Service Provider (SP) empfangen wurde, geht der IdP in einen der verfügbaren Flows zur Authentifizierung über. Dabei handelt es sich beispielsweise um den Password-Flow authn/ | ||
Zeile 14: | Zeile 16: | ||
In diesem Beispiel werden zwei Client-Zertifikate verwendet: | In diesem Beispiel werden zwei Client-Zertifikate verwendet: | ||
+ | - emailAddress=mustermann@dfn-cert.de, | ||
+ | - emailAddress=mustermann@dfn-cert.de, | ||
- | Zertifikat 1: emailAddress=mustermann@dfn-cert.de, | + | Die Zertifikate sind durch folgende Zertifikat-Hierarchie ausgestellt: |
- | + | | |
- | Zertifikat 2: emailAddress=mustermann@dfn-cert.de, | + | |
- | + | | |
- | Die Zertifikate sind nun durch folgende Zertifikat-Hierarchie ausgestellt: | + | |
- | + | ||
- | C=DE, | + | |
- | + | ||
- | C=DE, | + | |
- | + | ||
- | C=DE, | + | |
- | + | ||
- | Bei „CN=Test Root“ handelt es sich in diesem Beispiel um die Root CA. | + | |
- | + | ||
- | Die beiden Zertifikate unterscheiden sich also nur durch die Zugehörigkeit zu Organisation 1 bzw. Organisation 2. | + | |
- | Beide Zertifikate wurden als Client-Zertifikate in den Browser importiert. | + | Die beiden Zertifikate unterscheiden sich also nur durch die Zugehörigkeit zu Organisation 1 bzw. Organisation 2. Beide Zertifikate wurden als Client-Zertifikate in den Browser importiert. |
===== Konfiguration der Authentifizierung in Shibboleth ===== | ===== Konfiguration der Authentifizierung in Shibboleth ===== | ||
Zeile 39: | Zeile 32: | ||
Weiterhin werden laut [[https:// | Weiterhin werden laut [[https:// | ||
- | '' | + | '' |
- | {{: | + | {{: |
- | Abbildung 1: Standardmäßig konfigurierte Hinweis-Seite vor der Weiterleitung auf den geschützten Endpunkt}} | + | |
- | **Abbildung 1:** Standardmäßig konfigurierte Hinweis-Seite vor der Weiterleitung auf den geschützten Endpunkt | ||
===== Validierung der Zertifikate in Apache ===== | ===== Validierung der Zertifikate in Apache ===== | ||
Zeile 57: | Zeile 48: | ||
</ | </ | ||
- | Zu beachten ist, dass dies nicht innerhalb einer Location-Angabe | + | Die Direktive muss direkt im VirtualHost stehen, nicht innerhalb einer Location-Angabe. |
==== Schutz des X509-Endpunkts des IdP ==== | ==== Schutz des X509-Endpunkts des IdP ==== | ||
Zeile 141: | Zeile 132: | ||
Hier wird der wie oben beschrieben erzeugte Principal als Eingangswert für das Attribut '' | Hier wird der wie oben beschrieben erzeugte Principal als Eingangswert für das Attribut '' | ||
- | {{tag>idp3}} | + | {{tag>fixme}} |