Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:shibsp [2021/12/15 16:16] – Wolfgang Pempe | de:shibsp [2024/02/15 10:07] (aktuell) – [Shibboleth SP (3.x)] Wolfgang Pempe |
---|
<!-- Metadaten der Test-Föderation aktivieren --> | <!-- Metadaten der Test-Föderation aktivieren --> |
<!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! --> | <!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! --> |
<MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" | <MetadataProvider type="XML" url="http://www.aai.dfn.de/metadata/dfn-aai-test-metadata.xml" |
validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> | validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/> |
</MetadataProvider> | </MetadataProvider> |
... | ... |
</SPConfig> | </SPConfig> |
</file> | </file> |
| |
| Zur MetadataProvider-Konfiguration für die Produktivumgebung der DFN-AAI siehe unter [[de:production#beispiel_sp|Produktivbetrieb]]. |
| |
| <callout type="danger" title="Wichtig: Im Sessions-Element unbedingt redirectLimit auf 'host' oder 'exact' setzen!"> |
| Achten Sie bitte unbedingt darauf, dass in **''shibboleth2.xml''** in allen **''<Sessions>''**-Elementen das XML-Attribut **''redirectLimit''** |
| - gesetzt wird und |
| - den Wert **''host''** oder **''exact''** erhält! (ggf. in Kombination mit ''allow'') |
| Auf diese Weise wird ein Problem mit offenen Weiterleitungen ("Open Redirect") verhindert, das bspw. Phishing-Angriffe wirkungsvoller machen kann, vgl. https://shibboleth.atlassian.net/browse/SSPCPP-714. |
| Weitere Informationen zu Konfigurationsmöglichkeiten für das ''<Sessions>''-Element sind im [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334342/Sessions|Shibboleth-Wiki dokumentiert]]. |
| </callout> |
| |
| |
===Filtermechanismen=== | ===Filtermechanismen=== |
- der Embedded Discovery Service zeigt nur diejenigen IdPs bzw. Einrichtungen an, welche in diesen gefilterten Metadaten enthalten sind. In shibboleth2.xml muss ''<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>'' aktiv sein, bitte überprüfen sie das zur Sicherheit!). | - der Embedded Discovery Service zeigt nur diejenigen IdPs bzw. Einrichtungen an, welche in diesen gefilterten Metadaten enthalten sind. In shibboleth2.xml muss ''<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>'' aktiv sein, bitte überprüfen sie das zur Sicherheit!). |
| |
Die Whitelist wird dann folgendermassen konfiguriert: | Die Whitelist wird dann folgendermaßen konfiguriert: |
| |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
... | ... |
<MetadataProvider type="XML" | <MetadataProvider type="XML" |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" |
validate="true" backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600"> | validate="true" backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> |
<MetadataFilter type="Include"> | <MetadataFilter type="Include"> |
<Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include> | <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include> |
</file> | </file> |
| |
Für ein Beispiel eines Metadata Filters anhand einer [[de:entity_attributes#entity_categories|Entity Category]] siehe die Dokumentation des bwIDM-Projekts unter https://www.bwidm.de/teilnahme/dienstanbieter/ (Abschnitt 1.2 - Technische Voraussetzungen) | Für ein Beispiel eines Metadata Filters anhand einer [[de:entity_attributes#entity_categories|Entity Category]] siehe die Dokumentation des bwIDM-Projekts unter https://www.bwidm.de/teilnahme/dienstanbieter/ (Abschnitt 1.2 - Technische Voraussetzungen). |
| |
| Weiter Beispiele für Include- und Exclude-Filter anhand von Entity Attributen siehe unter [[https://doku.tid.dfn.de/de:entity_attributes#beispiele_filter|Entity Attributes]]. |
| |
| Im folgenden zwei Beispiele für Metadata Filter, die anhand der **Registration Authority** (also der jeweiligen Heimatföderation) auf die eduGAIN-Metadaten angewandt werden: |
| |
| **Nur Identity Provider aus der SWITCHaai (CH) und ACOnet Identity Federation (AT) zulassen:** |
| |
| <file xml /etc/shibboleth/shibboleth2.xml> |
| ... |
| <MetadataProvider type="XML" |
| url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml" |
| validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> |
| <MetadataFilter type="Include" matcher="RegistrationAuthority"> |
| <registrationAuthority>http://rr.aai.switch.ch/</registrationAuthority> |
| <registrationAuthority>http://eduid.at</registrationAuthority> |
| </MetadataFilter> |
| </MetadataProvider> |
| ... |
| </file> |
| |
| **Identity Provider aus zwei fiktiven Föderationen ausschließen:** |
| |
| <file xml /etc/shibboleth/shibboleth2.xml> |
| ... |
| <MetadataProvider type="XML" |
| url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml" |
| validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> |
| <MetadataFilter type="Exclude" matcher="RegistrationAuthority"> |
| <registrationAuthority>http://xyz.qq</registrationAuthority> |
| <registrationAuthority>http://zyx.ww</registrationAuthority> |
| </MetadataFilter> |
| </MetadataProvider> |
| ... |
| </file> |
| |
| <callout type="primary" title="Hinweis"> |
| Die Werte für **registrationAuthority** sind unter https://technical.edugain.org/status dokumentiert. Ein Klick auf den jeweiligen Föderationsnamen öffnet ein Fenster mit allen relevanten Informationen. |
| </callout> |
| |
| \\ |
| |
Nach allen Änderungen in ''shibboleth2.xml'' muss der shibd Service neu gestartet werden: | Nach allen Änderungen in ''shibboleth2.xml'' muss der shibd Service neu gestartet werden: |