Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibsp [2022/03/03 17:21] Wolfgang Pempede:shibsp [2024/02/15 10:07] (aktuell) – [Shibboleth SP (3.x)] Wolfgang Pempe
Zeile 40: Zeile 40:
    <!-- Metadaten der Test-Föderation aktivieren -->    <!-- Metadaten der Test-Föderation aktivieren -->
    <!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! -->    <!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! -->
-   <MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml"+   <MetadataProvider type="XML" url="http://www.aai.dfn.de/metadata/dfn-aai-test-metadata.xml"
          validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600">          validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600">
-       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/>+       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
    </MetadataProvider>    </MetadataProvider>
    ...    ...
Zeile 53: Zeile 53:
 </SPConfig> </SPConfig>
 </file> </file>
 +
 +Zur MetadataProvider-Konfiguration für die Produktivumgebung der DFN-AAI siehe unter [[de:production#beispiel_sp|Produktivbetrieb]]. 
 +
 +<callout type="danger" title="Wichtig: Im Sessions-Element unbedingt redirectLimit auf 'host' oder 'exact' setzen!">
 +Achten Sie bitte unbedingt darauf, dass in **''shibboleth2.xml''** in allen **''<Sessions>''**-Elementen das XML-Attribut **''redirectLimit''** 
 +  - gesetzt wird und
 +  - den Wert **''host''** oder **''exact''** erhält! (ggf. in Kombination mit ''allow'')
 +Auf diese Weise wird ein Problem mit offenen Weiterleitungen ("Open Redirect") verhindert, das bspw. Phishing-Angriffe wirkungsvoller machen kann, vgl. https://shibboleth.atlassian.net/browse/SSPCPP-714. 
 +Weitere Informationen zu Konfigurationsmöglichkeiten für das ''<Sessions>''-Element sind im [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334342/Sessions|Shibboleth-Wiki dokumentiert]].
 +</callout>
 +
  
 ===Filtermechanismen=== ===Filtermechanismen===
Zeile 60: Zeile 71:
   - der Embedded Discovery Service zeigt nur diejenigen IdPs bzw. Einrichtungen an, welche in diesen gefilterten Metadaten enthalten sind. In shibboleth2.xml muss ''<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>'' aktiv sein, bitte überprüfen sie das zur Sicherheit!).   - der Embedded Discovery Service zeigt nur diejenigen IdPs bzw. Einrichtungen an, welche in diesen gefilterten Metadaten enthalten sind. In shibboleth2.xml muss ''<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>'' aktiv sein, bitte überprüfen sie das zur Sicherheit!).
  
-Die Whitelist wird dann folgendermassen konfiguriert:+Die Whitelist wird dann folgendermaßen konfiguriert:
  
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
Zeile 66: Zeile 77:
 ... ...
    <MetadataProvider type="XML"     <MetadataProvider type="XML" 
-         url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml" +         url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" 
-         validate="true" backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600"> +         validate="true" backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> 
-      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />+      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" />
       <MetadataFilter type="Include">       <MetadataFilter type="Include">
          <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include>          <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include>
Zeile 90: Zeile 101:
 ... ...
    <MetadataProvider type="XML"     <MetadataProvider type="XML" 
-         url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml"+         url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml"
          validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">          validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">
-      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />+      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" />
       <MetadataFilter type="Include" matcher="RegistrationAuthority">       <MetadataFilter type="Include" matcher="RegistrationAuthority">
          <registrationAuthority>http://rr.aai.switch.ch/</registrationAuthority>          <registrationAuthority>http://rr.aai.switch.ch/</registrationAuthority>
Zeile 106: Zeile 117:
 ... ...
    <MetadataProvider type="XML"     <MetadataProvider type="XML" 
-         url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml"+         url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml"
          validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">          validate="true" backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">
-      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />+      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" />
       <MetadataFilter type="Exclude" matcher="RegistrationAuthority">       <MetadataFilter type="Exclude" matcher="RegistrationAuthority">
          <registrationAuthority>http://xyz.qq</registrationAuthority>          <registrationAuthority>http://xyz.qq</registrationAuthority>
Zeile 117: Zeile 128:
 </file> </file>
  
-**Hinweis:** Die Werte für ''registrationAuthority'' sind unter https://technical.edugain.org/status dokumentiert. Ein Klick auf den jeweiligen Föderationsnamen öffnet ein Fenster mit allen relevanten Infortmationen.+<callout type="primary" title="Hinweis"> 
 +Die Werte für **registrationAuthority** sind unter https://technical.edugain.org/status dokumentiert. Ein Klick auf den jeweiligen Föderationsnamen öffnet ein Fenster mit allen relevanten Informationen. 
 +</callout> 
 + 
 +\\
  
 Nach allen Änderungen in ''shibboleth2.xml'' muss der shibd Service neu gestartet werden: Nach allen Änderungen in ''shibboleth2.xml'' muss der shibd Service neu gestartet werden:
  • Zuletzt geändert: vor 2 Jahren