Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp:plugin-fudiscr [2024/10/08 12:14] – [Allgemein] hofmann@fu-berlin.dede:shibidp:plugin-fudiscr [2026/03/04 13:41] (aktuell) hofmann@fu-berlin.de
Zeile 32: Zeile 32:
 ===== Versionen für den Shibboleth Identity Provider in der v5 ===== ===== Versionen für den Shibboleth Identity Provider in der v5 =====
 ^ Plugin-Version ^ IdP-Version            ^ eduMFA-Version ^ privacyIDEA-Version ^ Support-Level               ^ ^ Plugin-Version ^ IdP-Version            ^ eduMFA-Version ^ privacyIDEA-Version ^ Support-Level               ^
-| 2.0.0          | min. 5.0.0             | min. 2.0.0     | min. 3.9.2          | nicht mehr verwenden        | +| 2.0.0          | min. 5.0.0 < 5.1.0     | min. 2.0.0     | min. 3.9.2          | nicht mehr verwenden        | 
-**2.1.0**      | **min. 5.1.0**         | **min. 2.0.0** | **min. 3.9.2**      | **aktuell**                 |+| 2.1.0          | min. 5.1.0 < 5.1.4     | min. 2.0.0     | min. 3.9.2          | nicht mehr verwenden        | 
 +| 2.1.1          | min. 5.1.0 < 5.1.4     | min. 2.0.0     | min. 3.9.2          | nicht mehr verwenden        | 
 +| 2.2.0          | min. 5.1.4 < 5.2.0     | min. 2.2.0     | min. 3.9.2          | nicht mehr verwenden        | 
 +| **2.2.1**      | **min. 5.1.4 < 5.2.0** | **min. 2.2.0** | **min. 3.9.2**      | **aktuell**                 | 
 +| **2.3.0**      | **min. 5.2.0 < 6.0.0** | **min. 2.2.0** | **min. 3.9.2**      | **aktuell**                 |
 ===== Unterstütze Token-Verfahren aus eduMFA und privacyIDEA ===== ===== Unterstütze Token-Verfahren aus eduMFA und privacyIDEA =====
 Aktuell werden die folgenden Token-Verfahren aus eduMFA ([[https://edumfa.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in eduMFA]]) und privacyIDEA ([[https://privacyidea.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in privacyIDEA]]) unterstützt: Aktuell werden die folgenden Token-Verfahren aus eduMFA ([[https://edumfa.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in eduMFA]]) und privacyIDEA ([[https://privacyidea.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in privacyIDEA]]) unterstützt:
Zeile 276: Zeile 280:
  
 **Beispiel 4**: **Beispiel 4**:
-<alert type="warning">Nachfolgendes Beispiel funktioniert erst ab der fudiscr-Version 1.1.0. Für Versionen 1.1.0 bis <1.3.0 kann //fudiscr.UserHasAnyTokenPredicate// anstelle von //fudiscr.UserHasTokenPredicate// verwendet werden.</alert> 
 Nach der Authentifizierung mit Benutzername und Passwort erfolgt dann eine Token basierte Authentifizierung, wenn die AuthenticationContextClass, die der ServiceProvider benötigt, nicht ausreicht oder wenn der/die Benutzer*in bereits mindestens einen Token besitzt. Bei den Tokens wird der Zustand nicht geprüft. Ein gesperrter Token würde z.B. dafür sorgen, dass das ''fudiscr.UserHasTokenPredicate'' den Wert ''true'' zurückgibt. Dieses Predicate wurde insbesondere für Rollout-Szenarien eingeführt. Nach der Authentifizierung mit Benutzername und Passwort erfolgt dann eine Token basierte Authentifizierung, wenn die AuthenticationContextClass, die der ServiceProvider benötigt, nicht ausreicht oder wenn der/die Benutzer*in bereits mindestens einen Token besitzt. Bei den Tokens wird der Zustand nicht geprüft. Ein gesperrter Token würde z.B. dafür sorgen, dass das ''fudiscr.UserHasTokenPredicate'' den Wert ''true'' zurückgibt. Dieses Predicate wurde insbesondere für Rollout-Szenarien eingeführt.
 <file xml ./conf/authn/mfa-authn-config.xml> <file xml ./conf/authn/mfa-authn-config.xml>
Zeile 432: Zeile 435:
 Jedes Authentifizierungsverfahren im Shibboleth Identity Provider basiert auf einem abstrakten Flow mit einem AuthenticationFlowDescriptor, siehe hierzu [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505085/AuthenticationConfiguration|AuthenticationConfiguration]]. Jedes Authentifizierungsverfahren im Shibboleth Identity Provider basiert auf einem abstrakten Flow mit einem AuthenticationFlowDescriptor, siehe hierzu [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505085/AuthenticationConfiguration|AuthenticationConfiguration]].
  
-Die Eigenschaften des AuthenticationFlowDescriptor werden in der Regel für alle Flows in ''%{idp.home}/conf/authn/authn.properties''. Als Vorlage sind diese auskommentiert in ''%{idp.home}/conf/authn/fudiscr.properties'' enthalten, um sie nach der Plugin-Installation bereitszustellen:+Die Eigenschaften des AuthenticationFlowDescriptor werden in der Regel für alle Flows in ''%{idp.home}/conf/authn/authn.properties'' festgelegt. Als Vorlage sind diese auskommentiert in ''%{idp.home}/conf/authn/fudiscr.properties'' enthalten, um sie nach der Plugin-Installation bereitzustellen:
 <file properties> <file properties>
 #idp.authn.fudiscr.order=1000 #idp.authn.fudiscr.order=1000
Zeile 461: Zeile 464:
  
 ==== Hinweis zu älteren IdP-Konfigurationen ==== ==== Hinweis zu älteren IdP-Konfigurationen ====
-Wenn Sie eine IdP-Konfiguration von vor Version 4.1.0 weiterpflegen, achten Sie bitte darauf, dass die Datei ''%{idp.home}/conf/idp.properties'' zu Beginn die folgende Zeile enthält, damit automatisch alle ''.properties''-Dateien unterhalb des ''%{idp.home}/conf''-Ordners (wie z.B. ''%{idp.home}/conf/fudiscr.properties'') eingelesen werden.+Wenn Sie eine IdP-Konfiguration von vor Version 4.1.0 weiter pflegen, achten Sie bitte darauf, dass die Datei ''%{idp.home}/conf/idp.properties'' zu Beginn die folgende Zeile enthält, damit automatisch alle ''.properties''-Dateien unterhalb des ''%{idp.home}/conf''-Ordners (wie z.B. ''%{idp.home}/conf/fudiscr.properties'') eingelesen werden.
 <file properties> <file properties>
 idp.searchForProperties=true idp.searchForProperties=true
Zeile 494: Zeile 497:
 ^Option^Default-Wert^Beschreibung^ ^Option^Default-Wert^Beschreibung^
 |**''fudiscr.challengeResponseClient''**|''EduMfaChallengeResponseClient''|Diese Option legt fest, welches Token-Backend angesprochen werden soll. Seit Version 2.1.0 ist der Default-Wert ''EduMfaChallengeResponseClient'', zuvor ''PrivacyIdeaChallengeResponseClient''. Es gibt auch die Möglichkeit, einen ''PrivacyIdeaChallengeResponseClient'' zu verwenden, der ohne Backend funktioniert und sämtliche Informationen als DEBUG-Meldungen beim Starten des IdP in die Logfiles schreibt.| |**''fudiscr.challengeResponseClient''**|''EduMfaChallengeResponseClient''|Diese Option legt fest, welches Token-Backend angesprochen werden soll. Seit Version 2.1.0 ist der Default-Wert ''EduMfaChallengeResponseClient'', zuvor ''PrivacyIdeaChallengeResponseClient''. Es gibt auch die Möglichkeit, einen ''PrivacyIdeaChallengeResponseClient'' zu verwenden, der ohne Backend funktioniert und sämtliche Informationen als DEBUG-Meldungen beim Starten des IdP in die Logfiles schreibt.|
-|''fudiscr.default_users_realm''|//leer//|Sollte sich kein Realm aus dem Benutzernamen ergeben, so kann mit dieser Option ein Realm festegelegt werden, der bei Fehlen im fudiscr-Plugin ergänzt wird. In den meisten Fällen wird kein Realm benötigt, so dass per Default kein Realm ergänzt wird.+|''fudiscr.default_users_realm''|//leer//|Sollte sich kein Realm aus dem Benutzernamen ergeben, so kann mit dieser Option ein Realm festgelegt werden, der bei Fehlen im fudiscr-Plugin ergänzt wird. In den meisten Fällen wird kein Realm benötigt, so dass per Default kein Realm ergänzt wird.
 |''fudiscr.filter_tokens.id_exclude_regex''|//leer//|Mit dieser Option können Token anhand ihrer ID/Seriennummer für die Verwendung im fudiscr-Plugin ausgeschlossen werden. Z.B. werden mit //^HOTP.*$// alle HOTP-Token ignoriert, die als Softwaretoken in privacyIDEA angelegt wurden und eine Seriennummer beginnend mit HOTP erhalten. Per Default wird der Filter nicht verwendet. Die Regular Expression ist nicht definiert.| |''fudiscr.filter_tokens.id_exclude_regex''|//leer//|Mit dieser Option können Token anhand ihrer ID/Seriennummer für die Verwendung im fudiscr-Plugin ausgeschlossen werden. Z.B. werden mit //^HOTP.*$// alle HOTP-Token ignoriert, die als Softwaretoken in privacyIDEA angelegt wurden und eine Seriennummer beginnend mit HOTP erhalten. Per Default wird der Filter nicht verwendet. Die Regular Expression ist nicht definiert.|
 |''fudiscr.filter_tokens.type_exclude_regex''|//leer//|Mit dieser Option können Token-Typen für die Verwendung im fudiscr-Plugin ausgeschlossen werden. Z.B. werden mit //^totp$// alle TOTP-Token ignoriert. Per Default wird der Filter nicht verwendet. Die Regular Expression ist nicht definiert.| |''fudiscr.filter_tokens.type_exclude_regex''|//leer//|Mit dieser Option können Token-Typen für die Verwendung im fudiscr-Plugin ausgeschlossen werden. Z.B. werden mit //^totp$// alle TOTP-Token ignoriert. Per Default wird der Filter nicht verwendet. Die Regular Expression ist nicht definiert.|
Zeile 601: Zeile 604:
       c:excludePattern="^clientwait$"/>       c:excludePattern="^clientwait$"/>
 </file> </file>
-In diesem Beispiel werden Token anhand einer Token-Eigenschaft herausgefiltert. In eduMFA und privacyIDEA können aktive Token existieren, die eine erste Validierung erfordern, bevor sie effektiv verwendet werden können. So soll z.B. erzwungen werden, dass Nutzer*innen bei der Einrichtung eines TOTP-Token den QR-Code mit dem Authenticator einscannen und diesen Vorgang mit einem OTP bestätigen. Die Token besitzen bis zur Bestätigung die Eigenschaft //rollout_state// mit den Werten //verify// oder //clientwait//. Die in dem Beispiel verwendeten zwei Predicates lassen sich auch mit einem Predicate und der Regular Expression //^(clientwait|verify)$// abbilden. Es soll in dem Bespiel nur die Listeneigenschaft von ''fudiscr.ExcludeTokenPredicates'' verdeutlicht werden.+In diesem Beispiel werden Token anhand einer Token-Eigenschaft herausgefiltert. In eduMFA und privacyIDEA können aktive Token existieren, die eine erste Validierung erfordern, bevor sie effektiv verwendet werden können. So soll z.B. erzwungen werden, dass Nutzer*innen bei der Einrichtung eines TOTP-Token den QR-Code mit dem Authenticator einscannen und diesen Vorgang mit einem OTP bestätigen. Die Token besitzen bis zur Bestätigung die Eigenschaft //rollout_state// mit den Werten //verify// oder //clientwait//. Die in dem Beispiel verwendeten zwei Predicates lassen sich auch mit einem Predicate und der Regular Expression //^(clientwait|verify)$// abbilden. Es soll in dem Beispiel nur die Listeneigenschaft von ''fudiscr.ExcludeTokenPredicates'' verdeutlicht werden.
  
 (Mit dem Konstruktor-Parameter ''c:negateResult="true"'' kann das Ergbnis eines //ExcludeTokenPredicates// negiert werden.) (Mit dem Konstruktor-Parameter ''c:negateResult="true"'' kann das Ergbnis eines //ExcludeTokenPredicates// negiert werden.)
Zeile 961: Zeile 964:
 </file> </file>
 \\ \\
 +
 +
 +===== MFA-Reminder =====
 +Mit der fudiscr-Plugin-Version 2.2.0 wurde ein neuer Flow eingeführt, der Nutzer*innen nach der Authentifizierung daran erinnern soll, sich einen weiteren Faktor oder ein weiteren Token einzurichten. Dabei gibt es zwei Stufen an Hinweisen.
 +
 +In der ersten Stufe erhalten die Nutzer*innen eine Hinweisseite mit Informationen und sie können dann weiter klicken, um den Authentifizierungsvorgang fortzusetzen. Die Hinweiseite kann angepasst werden und ist unter ''%{idp.home}/views/fudismfareminder/remind-mfa-setup.vm'' verfügbar. Mit dem Predicate ''fudismfareminder.RemindMfaSetupPredicate'' in der ''%{idp.home}/conf/authn/fudiscr.xml'' wird gesteuert, unter welchen Bedingungen diese Erinnerungsseite erscheint. Ist die Bean ''fudismfareminder.RemindMfaSetupPredicate'' in der ''%{idp.home}/conf/authn/fudiscr.xml'' nicht vorhanden oder auskommentiert, so wird diese Erinnerungsseite nicht angesprochen.
 +
 +In der zweite Stufe, die in der ''%{idp.home}/conf/authn/fudiscr.xml'' mit dem Predicate ''fudismfareminder.EnforceMfaSetupPredicate'' gesteuert wird, erhalten die Nutzer*innen eine Seite mit Hinweisen und können den Authentifizierungsvorgang nicht mehr fortsetzen. Die Idee dabei ist, dass auf dieser Erzwungenseite ein Link zu einem Service Provider aufgeführt ist, über den die weiteren Faktoren eingerichtet werden können. Dieser Service Provider ist dann bei den Predicates ''fudismfareminder.RemindMfaSetupPredicate'' und ''fudismfareminder.EnforceMfaSetupPredicate'' immer ausgenommen. Die Erzwungenseite kann unter ''%{idp.home}/views/fudismfareminder/enforce-mfa-setup.vm'' angepasst werden. Wie in der ersten Stufe gilt. Wenn die Bean ''fudismfareminder.EnforceMfaSetupPredicate'' in der ''%{idp.home}/conf/authn/fudiscr.xml'' nicht vorhanden oder auskommentiert ist, so wird die Erzwungenseite nicht angesprochen.
 +
 +Aktiviert wird dieser Flow in der ''%{idp.home}/conf/relying-party.xml'' als ''PostAuthenticationFlow'' mit der id ''fudismfareminder'' (genauer ''intercept/fudismfareminder'' wie folgt:
 +
 +
 +<file xml>
 +<bean parent="SAML2.SSO" p:postAuthenticationFlows="#{{'fudismfareminder'}}"
 +</file>
 +
 +In der ''%{idp.home}/conf/authn/fudiscr.xml'' werden für die Predicat folgende Beispiele aufgeführt:
 +
 +<file xml>
 +<bean id="fudismfareminder.RemindMfaSetupPredicate" parent="shibboleth.Conditions.AND">
 +    <constructor-arg>
 +        <list>
 +            <bean parent="shibboleth.Conditions.NOT">
 +                <constructor-arg>
 +                    <bean parent="shibboleth.Conditions.OR">
 +                        <constructor-arg>
 +                            <list>
 +                                <bean parent="shibboleth.Conditions.RelyingPartyId" c:candidate="https://sp.example.com/shibboleth" />
 +                            </list>
 +                        </constructor-arg>
 +                    </bean>
 +                </constructor-arg>
 +            </bean>
 +            <bean parent="shibboleth.Conditions.NOT">
 +                <constructor-arg>
 +                    <bean parent="shibboleth.Conditions.OR">
 +                        <constructor-arg>
 +                            <list>
 +                                <bean parent="fudiscr.Functions.ActiveAuthenticationResultExistsPredicate" c:flowId="authn/fudiscr"/>
 +                                <bean parent="fudiscr.Functions.ActiveAuthenticationResultExistsPredicate" c:flowId="authn/fudispasskeys"/>
 +                            </list>
 +                        </constructor-arg>
 +                    </bean>
 +                </constructor-arg>
 +            </bean>
 +        </list>
 +    </constructor-arg>
 +</bean>
 +</file>
 +
 +Die Seite ''%{idp.home}/views/fudismfareminder/remind-mfa-setup.vm'' wird für alle Service Provider außer dem Service Provider mit der entityID ''<nowiki>https://sp.example.com/shibboleth</nowiki>'' angezeigt. Außerdem wird die Seite angezeigt, wenn die Authentifizierungsverfahren ''fudiscr'' oder ''fudispasskeys'' nicht verwendet wurden, also, wenn kein zweiter/weiterer Faktor über das fudiscr-Plugin verwendet wurde.
 +
 +<file xml>
 +<bean id="fudismfareminder.EnforceMfaSetupPredicate" parent="shibboleth.Conditions.AND">
 +    <constructor-arg>
 +        <list>
 +            <bean parent="shibboleth.Conditions.NOT">
 +                <constructor-arg>
 +                    <bean parent="shibboleth.Conditions.OR">
 +                        <constructor-arg>
 +                            <list>
 +                                <bean parent="shibboleth.Conditions.RelyingPartyId" c:candidate="https://sp.example.com/shibboleth" />
 +                            </list>
 +                        </constructor-arg>
 +                    </bean>
 +                </constructor-arg>
 +            </bean>
 +            <bean parent="shibboleth.Conditions.NOT">
 +                <constructor-arg>
 +                    <bean parent="shibboleth.Conditions.OR">
 +                        <constructor-arg>
 +                            <list>
 +                                <bean parent="fudiscr.Functions.ActiveAuthenticationResultExistsPredicate" c:flowId="authn/fudiscr"/>
 +                                <bean parent="fudiscr.Functions.ActiveAuthenticationResultExistsPredicate" c:flowId="authn/fudispasskeys"/>
 +                            </list>
 +                        </constructor-arg>
 +                    </bean>
 +                </constructor-arg>
 +            </bean>
 +            <bean parent="fudiscr.Functions.UnfilteredAttributeDisplayValueExistsPredicate" c:attributeName="eduPersonEntitlement" c:attributeValue="uri:enforce:mfa"/>
 +            <!-- alternative variant for attribute evaluation -->
 +            <!--bean parent="fudiscr.Functions.UnfilteredAttributeDisplayValueRegexPredicate" c:attributeName="eduPersonEntitlement" c:regex="uri:enforce:.*"/-->
 +        </list>
 +    </constructor-arg>
 +</bean>
 +</file>
 +    
 +Für das Anzeigen der Erzwungenseite gelten zunächst die gleichen Regeln wie bei der Erinnerungsseite. Zusätzlich wird aber geprüft, ob in dem ungefiltertem Attribut ''eduPersonEntitlement'' der Wert ''uri:enforce:mfa'' gesetzt ist. Über ein Attribut kann also z.B. gesteuert werden, wer sich in jedem Fall einen zweiten Faktor einrichten muss. So können Nutzer*innen-Gruppen nach und nach auf die Multifaktor-Authentifizierung umgestellt werden.   
 +\\
 +
  
 ===== Erweiterung für Fortinet (FortiAuthenticator) ==== ===== Erweiterung für Fortinet (FortiAuthenticator) ====
Zeile 967: Zeile 1060:
 Die Erweiterung steht unter der Apache 2.0 Lizenz und wird von der DAASI International GmbH [[https://gitlab.daasi.de/shibboleth-identity-provider/shibboleth-idp-plugin-authn-fudiscr-fortinetclient|hier]] bereitgestellt. DAASI bietet für die Erweiterung auch Softwarepflegeverträge an. Anfragen sind bitte an [[info@daasi.de|info@daasi.de]] zu senden. Die Erweiterung steht unter der Apache 2.0 Lizenz und wird von der DAASI International GmbH [[https://gitlab.daasi.de/shibboleth-identity-provider/shibboleth-idp-plugin-authn-fudiscr-fortinetclient|hier]] bereitgestellt. DAASI bietet für die Erweiterung auch Softwarepflegeverträge an. Anfragen sind bitte an [[info@daasi.de|info@daasi.de]] zu senden.
 \\ \\
 +
  
 ===== Weitere Materialien ===== ===== Weitere Materialien =====
  • Zuletzt geändert: vor 17 Monaten