Spezielle SP Konfigurationen

Hinweis: Dieses Konfigurationsbeispiel gilt nur für ältere 3er-IdPs. Seit IdP 3.2.0 ist das folgende offenbar nicht mehr nötig bzw. kontraproduktiv!

Dieser SP verwendet in seinen AuthnRequests im RequestedAuthnContext Element den bisher selten verwendeten Comparison-Parameter, womit der IdPv3 in der Basis-Konfiguration bislang nicht umgehen kann:

<samlp:AuthnRequest AssertionConsumerServiceURL="https://fsso.springer.com/federation/Consumer/metaAlias/SpringerServiceProvider" ...>
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://fsso.springer.com</saml:Issuer>
    <!-- ... -->
    <samlp:RequestedAuthnContext Comparison="minimum" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
        <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</saml:AuthnContextClassRef>
    </samlp:RequestedAuthnContext>
</samlp:AuthnRequest>

Folgender Workaround wurde von dem Kollegen aus Ilmenau beigesteuert:

alt:

conf/authn/general-authn.xml
 <bean id="authn/Password" parent="shibboleth.AuthenticationFlow"
      p:passiveAuthenticationSupported="true"
      p:forcedAuthenticationSupported="true" />

neu:

conf/authn/general-authn.xml
 <bean id="authn/Password" parent="shibboleth.AuthenticationFlow"
      p:passiveAuthenticationSupported="true"
      p:forcedAuthenticationSupported="true" >
      <property name="supportedPrincipals">
           <bean parent="shibboleth.SAML2AuthnContextClassRef"
                c:classRef="urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified" />
      </property>
 </bean>

Siehe hierzu auch die Dokumentation im Shibboleth Wiki

Der Anbieter Haufe Umantis bietet lediglich eine Dokumentation für ADFS an. So binden Sie den nicht standardkonformen SP an einen Shibboleth IDP v3 an:

Legen Sie in der Metadatenverwaltung einen neuen SP an und aktivieren Sie die lokalen Metadaten.

Definieren Sie ein eigenes Attribut „umantisAccount“:

conf/attribute-resolver.xml
    <AttributeDefinition id="umantisAccount" xsi:type="Simple">
        <InputAttributeDefinition ref="uid" />
        <DisplayName xml:lang="en">Umantis-ID</DisplayName>
        <DisplayName xml:lang="de">Umantis-ID</DisplayName>
        <DisplayDescription xml:lang="en">uid für SP umantis</DisplayDescription>
        <DisplayDescription xml:lang="de">uid für SP umantis</DisplayDescription>
        <AttributeEncoder xsi:type="SAML2String" name="umantisAccount" friendlyName="umantisAccount" />
    </AttributeDefinition>
conf/attribute-filter.xml
  <!-- Bewerberportal Haufe Umantis -->
  <AttributeFilterPolicy id="umantis">
    <PolicyRequirementRule xsi:type="Requester" value="http://sso.de.umantis.com/sp-hs_offenburg" />
    <AttributeRule attributeID="umantisAccount"              permitAny="true"/>
  </AttributeFilterPolicy>
  • Zuletzt geändert: vor 6 Monaten