Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibsp [2022/04/14 14:23] – Wolfgang Pempe | de:shibsp [2022/12/15 19:23] – Wolfgang Pempe |
---|
<!-- Metadaten der Test-Föderation aktivieren --> | <!-- Metadaten der Test-Föderation aktivieren --> |
<!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! --> | <!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! --> |
<MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" | <MetadataProvider type="XML" url="http://www.aai.dfn.de/metadata/dfn-aai-test-metadata.xml" |
validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> | validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/> |
| |
Zur MetadataProvider-Konfiguration für die Produktivumgebung der DFN-AAI siehe unter [[de:production#beispiel_sp|Produktivbetrieb]]. | Zur MetadataProvider-Konfiguration für die Produktivumgebung der DFN-AAI siehe unter [[de:production#beispiel_sp|Produktivbetrieb]]. |
| |
| <callout type="danger" title="Wichtig: Im <Session>-Element unbedingt redirectLimit auf 'host' oder 'exact' setzen!"> |
| Achten Sie bitte unbedingt darauf, dass in ''shibboleth2.xml'' in allen ''<Sessions>''-Elementen das XML-Attribut ''redirectLimit'' |
| * gesetzt wird und |
| * den Wert ''host'' oder ''exact'' erhält! (ggf. in Kombination mit ''allow'') |
| Auf diese Weise wird ein Problem mit offenen Weiterleitungen ("Open Redirect") verhindert, das bspw. Phishing-Angriffe wirkungsvoller machen kann, vgl. https://shibboleth.atlassian.net/browse/SSPCPP-714. |
| Weitere Informationen zu Konfigurationsmöglichkeiten für das ''<Sessions>''-Element sind im [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334342/Sessions|Shibboleth-Wiki dokumentiert]]. |
| </callout> |
| |
| |
===Filtermechanismen=== | ===Filtermechanismen=== |
... | ... |
<MetadataProvider type="XML" | <MetadataProvider type="XML" |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" |
validate="true" backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> | validate="true" backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> |
... | ... |
<MetadataProvider type="XML" | <MetadataProvider type="XML" |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml" |
validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> | validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> |
... | ... |
<MetadataProvider type="XML" | <MetadataProvider type="XML" |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml" |
validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> | validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> |