| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:shibidp:plugin-fudiscr [2026/03/04 11:26] – hofmann@fu-berlin.de | de:shibidp:plugin-fudiscr [2026/03/04 13:41] (aktuell) – hofmann@fu-berlin.de |
|---|
| ===== Versionen für den Shibboleth Identity Provider in der v5 ===== | ===== Versionen für den Shibboleth Identity Provider in der v5 ===== |
| ^ Plugin-Version ^ IdP-Version ^ eduMFA-Version ^ privacyIDEA-Version ^ Support-Level ^ | ^ Plugin-Version ^ IdP-Version ^ eduMFA-Version ^ privacyIDEA-Version ^ Support-Level ^ |
| | 2.0.0 | min. 5.0.0 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden | | | 2.0.0 | min. 5.0.0 < 5.1.0 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden | |
| | 2.1.0 | min. 5.1.0 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden | | | 2.1.0 | min. 5.1.0 < 5.1.4 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden | |
| | 2.1.1 | min. 5.1.0 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden | | | 2.1.1 | min. 5.1.0 < 5.1.4 | min. 2.0.0 | min. 3.9.2 | nicht mehr verwenden | |
| | 2.2.0 | min. 5.1.4 | min. 2.2.0 | min. 3.9.2 | nicht mehr verwenden | | | 2.2.0 | min. 5.1.4 < 5.2.0 | min. 2.2.0 | min. 3.9.2 | nicht mehr verwenden | |
| | **2.2.1** | **min. 5.1.4** | **min. 2.2.0** | **min. 3.9.2** | **aktuell** | | | **2.2.1** | **min. 5.1.4 < 5.2.0** | **min. 2.2.0** | **min. 3.9.2** | **aktuell** | |
| | 2.3.0 | min. 5.2.0 | min. 2.2.0 | min. 3.9.2 | ! 1. Testversion ! | | | **2.3.0** | **min. 5.2.0 < 6.0.0** | **min. 2.2.0** | **min. 3.9.2** | **aktuell** | |
| ===== Unterstütze Token-Verfahren aus eduMFA und privacyIDEA ===== | ===== Unterstütze Token-Verfahren aus eduMFA und privacyIDEA ===== |
| Aktuell werden die folgenden Token-Verfahren aus eduMFA ([[https://edumfa.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in eduMFA]]) und privacyIDEA ([[https://privacyidea.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in privacyIDEA]]) unterstützt: | Aktuell werden die folgenden Token-Verfahren aus eduMFA ([[https://edumfa.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in eduMFA]]) und privacyIDEA ([[https://privacyidea.readthedocs.io/en/latest/tokens/tokentypes.html|Token types in privacyIDEA]]) unterstützt: |
| </appender> | </appender> |
| </file> | </file> |
| \\ | |
| |
| ===== Erweiterung für Fortinet (FortiAuthenticator) ==== | |
| Die Erweiterung für Fortinet unterstützt aktuell die Token-Typen //FortiToken (Mobile und Hardware)//, //SMS// und //E-Mail//. //FIDO2 (WebAuthn)// wird aktuell von der FortiAuthenticator API nicht unterstützt. | |
| |
| Die Erweiterung steht unter der Apache 2.0 Lizenz und wird von der DAASI International GmbH [[https://gitlab.daasi.de/shibboleth-identity-provider/shibboleth-idp-plugin-authn-fudiscr-fortinetclient|hier]] bereitgestellt. DAASI bietet für die Erweiterung auch Softwarepflegeverträge an. Anfragen sind bitte an [[info@daasi.de|info@daasi.de]] zu senden. | |
| \\ | \\ |
| |
| </file> | </file> |
| |
| Die Seite ''%{idp.home}/views/fudismfareminder/remind-mfa-setup.vm'' wird für alle Service Provider außer dem Service Provider mit der entityID ''https://sp.example.com/shibboleth'' angezeigt. Außerdem wird die Seite angezeigt, wenn die Authentifizierungsverfahren ''fudiscr'' oder ''fudispasskeys'' nicht verwendet wurden, also, wenn kein zweiter/weiterer Faktor über das fudiscr-Plugin verwendet wurde. | Die Seite ''%{idp.home}/views/fudismfareminder/remind-mfa-setup.vm'' wird für alle Service Provider außer dem Service Provider mit der entityID ''<nowiki>https://sp.example.com/shibboleth</nowiki>'' angezeigt. Außerdem wird die Seite angezeigt, wenn die Authentifizierungsverfahren ''fudiscr'' oder ''fudispasskeys'' nicht verwendet wurden, also, wenn kein zweiter/weiterer Faktor über das fudiscr-Plugin verwendet wurde. |
| |
| <file xml> | <file xml> |
| </bean> | </bean> |
| <bean parent="fudiscr.Functions.UnfilteredAttributeDisplayValueExistsPredicate" c:attributeName="eduPersonEntitlement" c:attributeValue="uri:enforce:mfa"/> | <bean parent="fudiscr.Functions.UnfilteredAttributeDisplayValueExistsPredicate" c:attributeName="eduPersonEntitlement" c:attributeValue="uri:enforce:mfa"/> |
| <!-- alternative Variante für eine Attributauswertung --> | <!-- alternative variant for attribute evaluation --> |
| <!--bean parent="fudiscr.Functions.UnfilteredAttributeDisplayValueRegexPredicate" c:attributeName="eduPersonEntitlement" c:regex="uri:enforce:.*"/--> | <!--bean parent="fudiscr.Functions.UnfilteredAttributeDisplayValueRegexPredicate" c:attributeName="eduPersonEntitlement" c:regex="uri:enforce:.*"/--> |
| </list> | </list> |
| | |
| Für das Anzeigen der Erzwungenseite gelten zunächst die gleichen Regeln wie bei der Erinnerungsseite. Zusätzlich wird aber geprüft, ob in dem ungefiltertem Attribut ''eduPersonEntitlement'' der Wert ''uri:enforce:mfa'' gesetzt ist. Über ein Attribut kann also z.B. gesteuert werden, wer sich in jedem Fall einen zweiten Faktor einrichten muss. So können Nutzer*innen-Gruppen nach und nach auf die Multifaktor-Authentifizierung umgestellt werden. | Für das Anzeigen der Erzwungenseite gelten zunächst die gleichen Regeln wie bei der Erinnerungsseite. Zusätzlich wird aber geprüft, ob in dem ungefiltertem Attribut ''eduPersonEntitlement'' der Wert ''uri:enforce:mfa'' gesetzt ist. Über ein Attribut kann also z.B. gesteuert werden, wer sich in jedem Fall einen zweiten Faktor einrichten muss. So können Nutzer*innen-Gruppen nach und nach auf die Multifaktor-Authentifizierung umgestellt werden. |
| | \\ |
| | |
| | |
| | ===== Erweiterung für Fortinet (FortiAuthenticator) ==== |
| | Die Erweiterung für Fortinet unterstützt aktuell die Token-Typen //FortiToken (Mobile und Hardware)//, //SMS// und //E-Mail//. //FIDO2 (WebAuthn)// wird aktuell von der FortiAuthenticator API nicht unterstützt. |
| | |
| | Die Erweiterung steht unter der Apache 2.0 Lizenz und wird von der DAASI International GmbH [[https://gitlab.daasi.de/shibboleth-identity-provider/shibboleth-idp-plugin-authn-fudiscr-fortinetclient|hier]] bereitgestellt. DAASI bietet für die Erweiterung auch Softwarepflegeverträge an. Anfragen sind bitte an [[info@daasi.de|info@daasi.de]] zu senden. |
| | \\ |
| |
| |