Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp3ecp [2017/03/24 11:16] Raoul Gunnar Boreniusde:shibidp:ecp [2023/03/02 14:40] (aktuell) – Inhalt jetzt nur noch unter de:shibidp:config-ecp Silke Meyer
Zeile 1: Zeile 1:
-====== Enhanced Client and Proxy (ECP) ====== 
- 
-ECP ist im IdP 3.x out-of-the box aktiv. 
- 
-Achten Sie nur darauf dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten auch angegeben ist: 
- 
-{{de:ecp.png}} 
- 
-Fehlt dies, finden ECP-Clients den IdP nicht wenn Sie sich anmelden wollen. 
-  
-Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http://www.cilogon.org/ecp#TOC-A-Basic-ECP-IdP-Test-Script|Testscript 'testecp.sh']]. 
- 
- 
-Siehe auch die [[https://wiki.shibboleth.net/confluence/display/IDP30/ECPConfiguration|Dokumentation im Shibboleth Wiki]]. 
- 
-Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https://wiki.shibboleth.net/confluence/display/IDP30/PasswordAuthnConfiguration#PasswordAuthnConfiguration-UserInterface|Dokumentation im Shibboleth Wiki]]. 
- 
-Vor allem die Sync&Share-Dienste in der DFN-AAI gehen offenbar von einer anderen ECP-Configuration am IdP aus. 
-Um dieses nutzbare zu machen müssen noch weitere Configurationen gemacht werden, siehe dazu die SP-Seiten in 
-diesem Wiki! 
- 
-===== ECP einschränken auf einzelne SPs ===== 
- 
-Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (nicht empfohlen, aber falls jemand ein 
-Szenario kennt in dem das sinnvoll ist, bitte melden ;-), muss in ''/opt/shibboleth-idp/conf/relying-party.xml'' im Abschnitt DefaultRelyingParty die Referenz auf das Bean ''SAML2.ECP'' auskommentieren und in der Liste der RelyingPartyOverrides eine Konfiguration für diese SPs hinzufügen. Das funktioniert analog zur  
-[[de:shibidp3storage|eingeschränkten Freigabe der PersistentID]]. \\ Hier ein Beispiel für bwIDM: 
- 
-<file xml /opt/shibboleth-idp/conf/relying-party.xml> 
-    
-<bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty"> 
-  <property name="profileConfigurations"> 
-    <list> 
-        <bean parent="Shibboleth.SSO"  
-              p:postAuthenticationFlows="#{{'terms-of-use', 'attribute-release'}}" 
-              p:includeAttributeStatement="true" /> 
-          <ref bean="SAML1.AttributeQuery" /> 
-          <ref bean="SAML1.ArtifactResolution" /> 
-          <bean parent="SAML2.SSO" 
-                p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"  
-                p:postAuthenticationFlows="#{{'terms-of-use', 'attribute-release'}}" /> 
-          <ref bean="SAML2.Logout" /> 
-          <ref bean="SAML2.ArtifactResolution" /> 
-    </list> 
-  </property> 
-</bean> 
-    
-<util:list id="shibboleth.RelyingPartyOverrides"> 
-  
- <bean parent="RelyingPartyByTag"> 
-   <constructor-arg name="candidates"> 
-     <list> 
-        <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" 
-              p:values="http://aai.dfn.de/category/bwidm-member"/> 
-     </list> 
-   </constructor-arg> 
-   <property name="profileConfigurations"> 
-     <list> 
-        <ref bean="SAML2.ECP" /> 
-        <ref bean="SAML2.AttributeQuery" /> 
-        <bean parent="SAML2.SSO"  
-              p:postAuthenticationFlows="#{{'terms-of-use', 'attribute-release'}}" 
-              p:nameIDFormatPrecedence="#{{'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent', 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient'}}" 
-                   /> 
-        <ref bean="SAML2.Logout" /> 
-        <ref bean="SAML2.ArtifactResolution" /> 
-     </list> 
-   </property> 
- </bean> 
-    
-</util:list> 
- 
-</file>