Dokumentation DFN-AAI, DFN-PKI und eduroam - de:shibidp

ansible-extensions

Anonymous (anonymous@undisclosed.example.com) — 2021-08-13T09:36:19+00:00

2021/08/13 10:39		aktuell
Zeile 1:		Zeile 1:
	====== Erweiterungen zum Ansible Playbook ======		====== Erweiterungen zum Ansible Playbook ======

-	In Bearbeitung	+	Unter [[https://jugit.fz-juelich.de/dfn/dfn-aai-shibboleth-idp]] kann ein Ansible Playbook für eine Grundinstallation des Shibboleth Identity Providers herunterladen bzw. geklont werden. Im Detail unterscheiden sich die aufzusetzenden Instanzen jedoch oft deutlich voneinander, so dass hier Lösungen für über die Grundinstallation hinausgehende Anwendungsfälle gesammelt werden sollen.
		+
		+	[[de:shibidp:ansible-extensions:PostgreSQL\|PostgreSQL]]

archiv

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T14:09:13+00:00

2021/05/03 14:20		aktuell

change-entityid

Anonymous (anonymous@undisclosed.example.com) — 2021-09-21T12:38:08+00:00

2021/07/13 15:11		aktuell
Zeile 1:		Zeile 1:
	====== Änderung der Entity ID ======		====== Änderung der Entity ID ======
	Wir raten davon ab, die Entity ID eines IdP zu ändern. Sie ist der global eindeutige Identifier Ihres IdP. Beachten Sie bitte unsere Tipps zur [[de:shibidp:install#wahl_der_entity_id\|Wahl der Entity ID]]. Nutzer*innen Ihres IdP sehen die Entity ID nicht. Wenn Sie sie unbedingt ändern wollen, beachten Sie dabei folgende Punkte:		Wir raten davon ab, die Entity ID eines IdP zu ändern. Sie ist der global eindeutige Identifier Ihres IdP. Beachten Sie bitte unsere Tipps zur [[de:shibidp:install#wahl_der_entity_id\|Wahl der Entity ID]]. Nutzer*innen Ihres IdP sehen die Entity ID nicht. Wenn Sie sie unbedingt ändern wollen, beachten Sie dabei folgende Punkte:
-	* Die Entity ID wird zur Generierung der persistentIDs verwendet: Der reine Wert der persistentID wird i.d.R. zusammen mit den Entity IDs von IdP und SP übermittelt. Um sicherzustellen, dass alte persistentIDs weiterverwendet werden, müssen Sie in der shibpid-Tabelle der Datenbank die ''localEntity'' umschreiben auf Ihre neue persistentID.	+	* Die Entity ID wird zur Generierung der persistentIDs verwendet: Der reine Wert der persistentID wird i.d.R. zusammen mit den Entity IDs von IdP und SP übermittelt. Um sicherzustellen, dass alte persistentIDs weiterverwendet werden, müssen Sie in der shibpid-Tabelle der Datenbank die ''localEntity'' umschreiben auf Ihre neue Entity ID.
	* Service Provider, die einen eigenen Discovery Service betreiben, zeigen häufig nur die Hochschulen bzw. Forschungseinrichtungen an, mit denen sie Verträge abgeschlossen haben. Dies wird i.d.R. über eine Allow List der Entity IDs realisiert. Auch unabhängig vom Discovery Service können Sie nicht wissen, ob Service Provider die Entity IDs ihrer Kund*innen manuell irgendwo hinterlegen müssen. Sie müssen also alle Service Provider über die Änderung Ihrer Entity ID informieren.		* Service Provider, die einen eigenen Discovery Service betreiben, zeigen häufig nur die Hochschulen bzw. Forschungseinrichtungen an, mit denen sie Verträge abgeschlossen haben. Dies wird i.d.R. über eine Allow List der Entity IDs realisiert. Auch unabhängig vom Discovery Service können Sie nicht wissen, ob Service Provider die Entity IDs ihrer Kund*innen manuell irgendwo hinterlegen müssen. Sie müssen also alle Service Provider über die Änderung Ihrer Entity ID informieren.

config-activation-condition

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T12:49:19+00:00

2021/05/03 14:49		aktuell

config-adfs-sp

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T13:43:35+00:00

2021/05/03 14:08		aktuell

config-advanced-custom-logger

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T13:33:22+00:00

2021/05/03 13:58		aktuell
Zeile 44:		Zeile 44:
	<logger name="org.springframework.webflow" level="${idp.loglevel.springwebflow:-DEBUG}" additivity="false" />		<logger name="org.springframework.webflow" level="${idp.loglevel.springwebflow:-DEBUG}" additivity="false" />
	</file>		</file>
-	{{tag>idp4 fixme}}	+	{{tag>idp4}}

config-advanced

Anonymous (anonymous@undisclosed.example.com) — 2020-10-19T07:42:21+00:00

2026/05/01 06:52	aktuell
Zeile 1:	Zeile 1:
	+	====== Fortgeschrittene Konfiguration IdP 4.x ======

	+	In dieser Rubrik finden Sie Anleitungen für besondere Anforderungen. Wenn Sie hier gerne weitere Themen sehen oder eigenes Wissen teilen würden, wenden Sie sich bitte an [[hotline@aai.dfn.de]].

config-attributes-aaiplus

Anonymous (anonymous@undisclosed.example.com) — 2024-07-24T13:09:08+00:00

2024/07/08 10:27		aktuell
Zeile 4:		Zeile 4:
	Diese Seite ist noch im Aufbau begriffen! \\		Diese Seite ist noch im Aufbau begriffen! \\
	Das Konzept AAIplus sieht u.a. vor, die Entity Category ''http://aai.dfn.de/category/aai-plus'' an Service Provider zu vergeben, die ein Datenschutz-Audit absolvieren und im Gegenzug die Zusicherung erhalten, dass die vom jeweiligen SP benötigten Attribute von den teilnehmenden IdPs ohne weitere Rückfragen übertragen werden. Siehe hierzu einstweilen den Beitrag zum Thema in den [[https://download.aai.dfn.de/publikationen/dfn-mitteilungen/DFN-Mitteilungen-96.pdf\|DFN-Mitteilungen Nr. 96]] (ab Seite 13). \\		Das Konzept AAIplus sieht u.a. vor, die Entity Category ''http://aai.dfn.de/category/aai-plus'' an Service Provider zu vergeben, die ein Datenschutz-Audit absolvieren und im Gegenzug die Zusicherung erhalten, dass die vom jeweiligen SP benötigten Attribute von den teilnehmenden IdPs ohne weitere Rückfragen übertragen werden. Siehe hierzu einstweilen den Beitrag zum Thema in den [[https://download.aai.dfn.de/publikationen/dfn-mitteilungen/DFN-Mitteilungen-96.pdf\|DFN-Mitteilungen Nr. 96]] (ab Seite 13). \\
-	Die o.g. Entity Category wird derzeit noch nicht vergeben (Stand März 2021). Es sind noch verfahrenstechnische Fragen zu klären.	+	Die o.g. Entity Category wird derzeit noch nicht vergeben (Stand Juli 2024). Es sind noch verfahrenstechnische Fragen zu klären.
	</callout>		</callout>

config-attributes-access_ecs

Anonymous (anonymous@undisclosed.example.com) — 2023-11-01T17:54:26+00:00

2023/11/01 18:48		aktuell
Zeile 14:		Zeile 14:
	<AttributeRule attributeID="schacHomeOrganization" permitAny="true" />		<AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
	<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />		<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
		+	<AttributeRule attributeID="samlPairwiseID" permitAny="true"/>
		+	<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/>
		+	</AttributeFilterPolicy>
		+	</file>
		+
		+	==== Personalized Access Entity Category ====
		+	* Siehe hierzu die Spezifikation unter https://refeds.org/category/personalized
		+	* Für IdPs, die die Attributfreigabe an diese Entity Category unterstützen, sollte unbedingt in der Metadatenverwaltung das entsprechende Entity Category Support Attribut gesetzt werden
		+
		+	<file xml ./conf/attribute-filter.xml>
		+	<AttributeFilterPolicy id="personalized_access">
		+	<PolicyRequirementRule
		+	xsi:type="EntityAttributeExactMatch"
		+	attributeName="http://macedir.org/entity-category"
		+	attributeValue="https://refeds.org/category/personalized" />
		+	<AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
		+	<AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
		+	<AttributeRule attributeID="samlSubjectID" permitAny="true"/>
		+	<AttributeRule attributeID="mail" permitAny="true"/>
		+	<AttributeRule attributeID="displayName" permitAny="true"/>
		+	<AttributeRule attributeID="givenName" permitAny="true"/>
		+	<AttributeRule attributeID="sn" permitAny="true"/>
		+	<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/>
	</AttributeFilterPolicy>		</AttributeFilterPolicy>
	</file>		</file>

config-attributes-arcgis

Anonymous (anonymous@undisclosed.example.com) — 2025-01-16T11:39:06+00:00

2025/01/16 12:30		aktuell
Zeile 40:		Zeile 40:
	====== ArcGIS Online als Service Provider mit openID (IDP5) ======		====== ArcGIS Online als Service Provider mit openID (IDP5) ======

-	ArcGIS bietet auch die Möglichkeit per openID die Anbindung vorzunehmen. Die Einrichtung erfolgt nach der Anleitung von ArcGIS. Die Metadaten müssen den POST-Endpunkt enthalten:	+	ArcGIS bietet auch die Möglichkeit per openID die Anbindung vorzunehmen. Die Einrichtung erfolgt nach der Anleitung von ArcGIS. Die Metadaten müssen den token_endpoint_auth_method mit client_secret_post enthalten:
	<file metadata.json>		<file metadata.json>
	{		{

config-attributes-cisco-webex

Anonymous (anonymous@undisclosed.example.com) — 2022-12-06T14:22:49+00:00

2022/12/06 15:22		aktuell
Zeile 76:		Zeile 76:
	Der Zertifikatswechsel in der Metadatenverwaltung wird genau so durchgeführt [[https://doku.tid.dfn.de/de:certificates#zertifikatstausch\|wie bei anderen SPs auch]], d.h. Sie lassen beide Zertifikate, das alte und das neue, vorübergehend parallel in den Metadaten stehen.		Der Zertifikatswechsel in der Metadatenverwaltung wird genau so durchgeführt [[https://doku.tid.dfn.de/de:certificates#zertifikatstausch\|wie bei anderen SPs auch]], d.h. Sie lassen beide Zertifikate, das alte und das neue, vorübergehend parallel in den Metadaten stehen.

-	{{tag>idp4 attributfreigabe lokale-metadaten mdvdoku}}	+	{{tag>idp4 attributfreigabe lokale-metadaten}}

config-attributes-clarin

Anonymous (anonymous@undisclosed.example.com) — 2022-03-10T09:57:33+00:00

2021/04/26 15:18		aktuell
Zeile 1:		Zeile 1:
	====== Freigabe der wichtigsten Attribute für CLARIN-SPs ======		====== Freigabe der wichtigsten Attribute für CLARIN-SPs ======
-	(zur [[de:shibidp:config-attributes#haeufig_genutzt_service_provider\|Übersicht Attributfreigaben]])	+	(zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider\|Übersicht Attributfreigaben]])

	* Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources		* Liste der Dienste unter http://clarin.eu/content/easy-access-protected-resources

config-attributes-coco

Anonymous (anonymous@undisclosed.example.com) — 2025-08-21T07:51:58+00:00

2025/04/28 17:03		aktuell
Zeile 42:		Zeile 42:
	</AttributeFilterPolicy>		</AttributeFilterPolicy>
	</file>		</file>
		+
		+	IdPs sollten nur die vom SP angeforderten Attribute freigeben, d.h. in den SP-Metadaten wird das jeweilige Attribut mit ''isRequired="true"'' angefordert. Siehe auch [[https://wiki.refeds.org/display/CODE/Good+practice+for+Home+organisations\| Good practice for Home organisations]].
		+
		+	Mit dem Parameter ''onlyIfRequired="true"'' werden nur angeforderte Attribute freigegeben. Default-Wert von ''onlyIfRequired'' ist ''true'', der Parameter muss also nicht zwingend angegeben werden. Weitere Informationen finden Sie [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501959/AttributeInMetadataConfiguration#Reference \|hier]]

	Ausführliches Beispiel für eine Attribute Filter Policy, die für die allermeisten Anwendungsfälle passen sollte:		Ausführliches Beispiel für eine Attribute Filter Policy, die für die allermeisten Anwendungsfälle passen sollte:
Zeile 54:		Zeile 58:

	<AttributeRule attributeID="displayName">		<AttributeRule attributeID="displayName">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="eduPersonScopedAffiliation">		<AttributeRule attributeID="eduPersonScopedAffiliation">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="eduPersonAffiliation">		<AttributeRule attributeID="eduPersonAffiliation">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="mail">		<AttributeRule attributeID="mail">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="cn">		<AttributeRule attributeID="cn">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="givenName">		<AttributeRule attributeID="givenName">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="sn">		<AttributeRule attributeID="sn">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="eduPersonPrincipalName">		<AttributeRule attributeID="eduPersonPrincipalName">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="schacHomeOrganization">		<AttributeRule attributeID="schacHomeOrganization">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="schacHomeOrganizationType">		<AttributeRule attributeID="schacHomeOrganizationType">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

	<AttributeRule attributeID="o">		<AttributeRule attributeID="o">
-	<PermitValueRule xsi:type="AttributeInMetadata"/>	+	<PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
	</AttributeRule>		</AttributeRule>

config-attributes-dependencies

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:04:28+00:00

2023/03/06 15:45		aktuell
Zeile 15:		Zeile 15:
	</file>		</file>

-	{{tag>idp4 attributfreigabe filterregel filterpolicy}}	+	{{tag>attributfreigabe filterregel filterpolicy}}

config-attributes-dfn-portale

Anonymous (anonymous@undisclosed.example.com) — 2026-03-04T06:40:42+00:00

2025/12/04 13:42		aktuell
Zeile 17:		Zeile 17:
	<!-- Release to DFN-Portale -->		<!-- Release to DFN-Portale -->
	<AttributeFilterPolicy id="dfn-portale">		<AttributeFilterPolicy id="dfn-portale">
-	<PolicyRequirementRule xsi:type="OR">	+	<PolicyRequirementRule xsi:type="Requester" value="https://kc-proxy.dfn-cert.de/idp/shibboleth"/>
-	<Rule xsi:type="Requester" value="https://kc-proxy.dfn-cert.de/idp/shibboleth" />	+
-	</PolicyRequirementRule>	+
	<AttributeRule attributeID="displayName" permitAny="true" />		<AttributeRule attributeID="displayName" permitAny="true" />
	<AttributeRule attributeID="givenName" permitAny="true" />		<AttributeRule attributeID="givenName" permitAny="true" />

config-attributes-dfnconf

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T14:03:53+00:00

2021/04/26 15:05		aktuell
Zeile 3:		Zeile 3:
	Die IdP-Konfiguration für den aktuellen Videokonferenz-Dienst DFNconf finden Sie in der [[https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/\|DFNconf-Dokumentation]].		Die IdP-Konfiguration für den aktuellen Videokonferenz-Dienst DFNconf finden Sie in der [[https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/\|DFNconf-Dokumentation]].

-	Zudem steht weiterhin die [[https://www.vc.dfn.de/webkonferenzen/aai-login/anleitung-fuer-administratoren.html\|Anleitung für den bisherigen Dienst DFN WebConferencing]] zur Verfügung.
-
-	{{tag>idp4}}

config-attributes-dfnmailsupport

Anonymous (anonymous@undisclosed.example.com) — 2025-07-29T06:16:38+00:00

2022/09/22 12:36		aktuell
Zeile 3:		Zeile 3:
	Zusätzlich zur IdP-Konfiguration ist eine Anmeldung per Mail in der [[mailto:hotline@mailsupport.dfn.de\|Hotline des DFN-Mailsupports]] nötig.		Zusätzlich zur IdP-Konfiguration ist eine Anmeldung per Mail in der [[mailto:hotline@mailsupport.dfn.de\|Hotline des DFN-Mailsupports]] nötig.

-	<file xml ./conf/attribute-filter.xml>	+	Zur Konfiguration der Attributfreigabe siehe unter [[de:shibidp:config-attributes-dfn-portale\|DFN-Portale]].
-	<!-- DFN Mailsupport-Portal -->	+
-	<AttributeFilterPolicy id="DFNMailsupport">	+
-	<PolicyRequirementRule xsi:type="Requester" value="https://portal.mailsupport.dfn.de/shibboleth" />	+
-	<AttributeRule attributeID="mail" permitAny="true"/>	+
-	<AttributeRule attributeID="givenName" permitAny="true"/>	+
-	<AttributeRule attributeID="sn" permitAny="true"/>	+
-	<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>	+
-	</AttributeFilterPolicy>	+
-	</file>	+

	{{tag>idp4 attributfreigabe mailsupport dfnmailsupport}}		{{tag>idp4 attributfreigabe mailsupport dfnmailsupport}}

config-attributes-dfnterminplaner

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:14:14+00:00

2024/10/04 13:31		aktuell
Zeile 15:		Zeile 15:
	Zu ''samlPairwiseID'' siehe auch [[de:shibidp:config-attributes-subject_ids\|SAML V2.0 Subject Identifier Attributes]].		Zu ''samlPairwiseID'' siehe auch [[de:shibidp:config-attributes-subject_ids\|SAML V2.0 Subject Identifier Attributes]].

-	{{tag>idp4 attributfreigabe dfn-terminplaner}}	+	{{tag>attributfreigabe dfn-terminplaner}}

config-attributes-dticket

Anonymous (anonymous@undisclosed.example.com) — 2023-11-20T13:59:15+00:00

2023/07/12 08:31		aktuell
Zeile 27:		Zeile 27:
	urn:geant:dfn.de:beispiel-hochschule.de:entitlement:dticket:site:1234</code>		urn:geant:dfn.de:beispiel-hochschule.de:entitlement:dticket:site:1234</code>

-	===== Filterregel =====	+	===== Filterregel für Identity Provider =====

	<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>		<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>

config-attributes-easyroam4edu

Anonymous (anonymous@undisclosed.example.com) — 2024-09-12T12:26:47+00:00

2024/02/12 15:19		aktuell
Zeile 10:		Zeile 10:
	* [[de:common_attributes#a17\|samlPairwiseID]], zur Generierung siehe [[de:shibidp:config-attributes-aaiplus\|hier]]		* [[de:common_attributes#a17\|samlPairwiseID]], zur Generierung siehe [[de:shibidp:config-attributes-aaiplus\|hier]]
	* [[de:common_attributes#a10\|eduPersonEntitlement]] mit den Werten		* [[de:common_attributes#a10\|eduPersonEntitlement]] mit den Werten
-	* https://www.dfn.de/entitlement/geteduroam/admin zur Autorisierung von Admins	+	* <code>https://www.dfn.de/entitlement/geteduroam/admin</code> zur Autorisierung von Admins
-	* https://www.dfn.de/entitlement/geteduroam/optin für gewöhnliche Nutzende	+	* <code>https://www.dfn.de/entitlement/geteduroam/optin</code> für gewöhnliche Nutzende

	Beispiel Attributfreigabe		Beispiel Attributfreigabe

config-attributes-edupersontargetedid

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:07:26+00:00

2024/11/27 15:20		aktuell
Zeile 26:		Zeile 26:
	Dafür müssen Sie die UI-Informationen und Transcoding-Regeln für das veraltete Attribut manuell in die Attribute Registry einpflegen. Wir empfehlen, dazu gleich eine ganze Sammlung von verbreiteten, nicht mitgelieferten Attributen einzubinden: Laden Sie die Datei [[de:shibidp:dfn_misc_transcoder\|dfnMisc.xml]] herunter und legen Sie sie nach ''./conf/attribute/dfnMisc.xml''. Referenzieren Sie diese Datei in ''./conf/attributes/default-rules.xml''.		Dafür müssen Sie die UI-Informationen und Transcoding-Regeln für das veraltete Attribut manuell in die Attribute Registry einpflegen. Wir empfehlen, dazu gleich eine ganze Sammlung von verbreiteten, nicht mitgelieferten Attributen einzubinden: Laden Sie die Datei [[de:shibidp:dfn_misc_transcoder\|dfnMisc.xml]] herunter und legen Sie sie nach ''./conf/attribute/dfnMisc.xml''. Referenzieren Sie diese Datei in ''./conf/attributes/default-rules.xml''.

-	{{tag>idp4}}

config-attributes-edupersonuniqueid

Anonymous (anonymous@undisclosed.example.com) — 2024-11-27T13:59:18+00:00

2024/11/27 14:56		aktuell
Zeile 12:		Zeile 12:

	Die ''eduPersonUniqueId'' hat den Vorteil, dass sie pseudonym ist: Von SP-Seite aus kann nicht auf die dahinter liegende Identität rückgeschlossen werden.		Die ''eduPersonUniqueId'' hat den Vorteil, dass sie pseudonym ist: Von SP-Seite aus kann nicht auf die dahinter liegende Identität rückgeschlossen werden.
-
-	===== Upgegradeter IdP 4.x (ohne Attribute Registry) =====
-	<file xml /opt/shibboleth-idp/conf/attribute-resolver.xml>
-	<AttributeDefinition xsi:type="ScriptedAttribute" id="eduPersonUniqueId">
-	<InputAttributeDefinition ref="uid" />
-	<DisplayName xml:lang="en">Unique ID</DisplayName>
-	<DisplayName xml:lang="de">Eindeutige ID</DisplayName>
-	<DisplayDescription xml:lang="en">Unique ID: A unique identifier for a person, mainly for inter-institutional user identification</DisplayDescription>
-	<DisplayDescription xml:lang="de">Eindeutige Nutzerkennung</DisplayDescription>
-	<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.13" friendlyName="eduPersonUniqueId" />
-	<Script><![CDATA[
-	DigestUtils = Java.type("org.apache.commons.codec.digest.DigestUtils");
-	// unique value erzeugen
-	uniqueValue = uid.getValues().get(0) + "SALT_MIN_48_CHARS";
-	// md5 value erzeugen
-	localpart = DigestUtils.md5Hex(uniqueValue);
-	// Scope anhängen
-	eduPersonUniqueId.getValues().add(localpart + "@%{idp.scope}");
-	]]>
-	</Script>
-	</AttributeDefinition>
-	</file>
-
-	===== Neu installierter IdP 4.x (mit Attribute Registry) =====

	<callout color="#ff9900" title="Best Practice">		<callout color="#ff9900" title="Best Practice">

config-attributes-eduroam

Anonymous (anonymous@undisclosed.example.com) — 2025-12-10T13:46:20+00:00

2025/12/10 14:44		aktuell
Zeile 6:		Zeile 6:
	Für die Nutzung des Dienstes cat.eduroam.org ist es erforderlich, dass Ihr IdP an [[https://doku.tid.dfn.de/de:edugain\|eduGAIN]] teilnimmt.		Für die Nutzung des Dienstes cat.eduroam.org ist es erforderlich, dass Ihr IdP an [[https://doku.tid.dfn.de/de:edugain\|eduGAIN]] teilnimmt.

-	===== Schritt 2: Konfiguration des IdP =====	+	===== Schritt 2: Konfiguration des IdP zu Selbstregistrierung als eduroam IdP Admin auf CAT =====

	eduroam-Admin Zugang zu [[https://cat.eduroam.org\|cat.eduroam.org]]: Alle in den Metadaten angefragten, also "requested", Attribute werden übertragen. Für das Attribut eduPersonEntitlement wird nur der Wert "urn:geant:dfn.de:eduroam:cat:admin" übertragen.		eduroam-Admin Zugang zu [[https://cat.eduroam.org\|cat.eduroam.org]]: Alle in den Metadaten angefragten, also "requested", Attribute werden übertragen. Für das Attribut eduPersonEntitlement wird nur der Wert "urn:geant:dfn.de:eduroam:cat:admin" übertragen.

config-attributes-eduvpn

Anonymous (anonymous@undisclosed.example.com) — 2022-12-15T21:05:42+00:00

2022/03/10 10:55		aktuell
Zeile 13:		Zeile 13:
	</PermitValueRule>		</PermitValueRule>
	</AttributeRule>		</AttributeRule>
		+	<AttributeRule attributeID="samlPairwiseID" permitAny="true"/>
	</AttributeFilterPolicy>		</AttributeFilterPolicy>
	</file>		</file>
-
-	Zusätzlich muss die [[de:shibidp:config-storage#weitergabe_der_persistent_id\|SAML2 Persistent Name ID]] freigegeben werden.

	{{tag>idp4 attributfreigabe eduvpn}}		{{tag>idp4 attributfreigabe eduvpn}}

config-attributes-elixir

Anonymous (anonymous@undisclosed.example.com) — 2022-04-05T18:04:02+00:00

2022/04/05 20:01		aktuell
Zeile 42:		Zeile 42:

	=== Weitere Infos zur Life Science AAI ===		=== Weitere Infos zur Life Science AAI ===
		+	* [[https://lifescience-ri.eu/home.html\|Homepage]]
	* [[https://lifescience-ri.eu/aai/ArchiveDocs/HO/signed-Letter_to_encourage_IdPs_to_release_attributes.pdf\|Anschreiben mit allen relevanten Informationen]]		* [[https://lifescience-ri.eu/aai/ArchiveDocs/HO/signed-Letter_to_encourage_IdPs_to_release_attributes.pdf\|Anschreiben mit allen relevanten Informationen]]
	* [[https://lifescience-ri.eu/ls-login/privacy-notice-for-life-science-login.html\|Datenschutzerklärung]]		* [[https://lifescience-ri.eu/ls-login/privacy-notice-for-life-science-login.html\|Datenschutzerklärung]]

config-attributes-erasmus

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:20:27+00:00

2023/03/27 11:54		aktuell
Zeile 73:		Zeile 73:
	Die Attributfreigabe kann unter https://myacademicid.devtest.eduteams.org gefahrlos getestet werden.		Die Attributfreigabe kann unter https://myacademicid.devtest.eduteams.org gefahrlos getestet werden.

-	{{tag>idp4 attributfreigabe erasmus}}	+	{{tag>attributfreigabe erasmus}}

config-attributes-gigamove

Anonymous (anonymous@undisclosed.example.com) — 2025-05-02T14:11:27+00:00

2022/03/10 10:56		aktuell
Zeile 8:		Zeile 8:
	<AttributeRule attributeID="mail" permitAny="true"/>		<AttributeRule attributeID="mail" permitAny="true"/>
	<AttributeRule attributeID="givenName" permitAny="true"/>		<AttributeRule attributeID="givenName" permitAny="true"/>
-	<!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! -->	+	<AttributeRule attributeID="sn" permitAny="true"/>
-	<AttributeRule attributeID="surname" permitAny="true"/>	+
	</AttributeFilterPolicy>		</AttributeFilterPolicy>

Zeile 16:		Zeile 15:
	Alternativ zu ''eduPersonPrincipalName'' kann auch die [[de:shibidp:config-storage#weitergabe_der_persistent_id\|SAML2 Persistent Name ID]] freigegeben werden.		Alternativ zu ''eduPersonPrincipalName'' kann auch die [[de:shibidp:config-storage#weitergabe_der_persistent_id\|SAML2 Persistent Name ID]] freigegeben werden.

-	{{tag>idp4 attributfreigabe gigamove}}	+	{{tag>attributfreigabe gigamove}}

config-attributes-haufe-umantis

Anonymous (anonymous@undisclosed.example.com) — 2020-10-14T14:24:11+00:00

2020/10/14 16:23		aktuell
Zeile 1:		Zeile 1:
	====== Stellenportal von Haufe Umantis ======		====== Stellenportal von Haufe Umantis ======
-	Der Anbieter Haufe Umantis bietet lediglich eine Dokumentation für ADFS an. So binden Sie den nicht standardkonformen SP an einen Shibboleth IDP v3 an:	+	Der Anbieter Haufe Umantis bietet lediglich eine Dokumentation für ADFS an. So binden Sie den nicht standardkonformen SP an einen Shibboleth-IdP an:

	Legen Sie in der Metadatenverwaltung einen neuen SP an und aktivieren Sie die [[https://doku.tid.dfn.de/de:metadata_local\|lokalen Metadaten]].		Legen Sie in der Metadatenverwaltung einen neuen SP an und aktivieren Sie die [[https://doku.tid.dfn.de/de:metadata_local\|lokalen Metadaten]].

config-attributes-inacademia

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:14:44+00:00

2024/07/08 10:28		aktuell
Zeile 24:		Zeile 24:
	Zu ''eduPersonTargetedID'' siehe [[de:shibidp:config-attributes-edupersontargetedid\|hier]].		Zu ''eduPersonTargetedID'' siehe [[de:shibidp:config-attributes-edupersontargetedid\|hier]].

-	{{tag>idp4 attributfreigabe inacademia}}	+	{{tag>attributfreigabe inacademia}}

config-attributes-kivuto

Anonymous (anonymous@undisclosed.example.com) — 2022-03-10T09:56:52+00:00

2021/05/03 15:07		aktuell
Zeile 1:		Zeile 1:
	====== Kivuto/OnTheHub ======		====== Kivuto/OnTheHub ======
-	(zurück zur [[de:shibidp:config-attributes#haeufig_genutzt_service_provider\|Übersicht]])	+	(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider\|Übersicht]])

	Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig:		Um Ihren User*innen Zugang zum Angebot von Kivuto/OnTheHub zu geben, sind folgende Konfigurationen nötig:

config-attributes-linkedin-learning

Anonymous (anonymous@undisclosed.example.com) — 2025-07-23T14:35:18+00:00

2022/12/06 16:04		aktuell
Zeile 53:		Zeile 53:

	<bean id="custom.RelyingPartyCondition"		<bean id="custom.RelyingPartyCondition"
-	class="net.shibboleth.idp.profile.logic.RelyingPartyIdPredicate"	+	class="net.shibboleth.profile.context.logic.RelyingPartyIdPredicate"
	c:_0-ref="linkedInOrgRegexPredicate" />		c:_0-ref="linkedInOrgRegexPredicate" />

config-attributes-local-sps

Anonymous (anonymous@undisclosed.example.com) — 2022-03-10T09:57:05+00:00

2021/04/26 15:16		aktuell
Zeile 1:		Zeile 1:
	====== Einheitliche Attributfreigaben für alle lokalen SPs ======		====== Einheitliche Attributfreigaben für alle lokalen SPs ======
-	(zurück zur [[de:shibidp:config-attributes#haeufig_genutzt_service_provider\|Übersicht]])	+	(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider\|Übersicht]])

	Sie können in ''conf/attribute-filter.xml'' eine Filter-Policy erstellen, die all Ihren [[de:metadata_local\|lokalen SPs]] dieselben Attribute übermittelt. Um Ihren lokalen Metadatensatz anzusprechen, holen Sie sich daraus den "Name" aus dem EntitiesDescriptor, der auch Ihre Einrichtungsnummer enthält, hier im Beispiel ''https://www.aai.dfn.de/DFN-AAI-Local-999''. Um der Datensparsamkeit genüge zu tun, können Sie von den lokalen SPs verlangen, dass die freizugebenden Attribute in den SP-Metadaten genannt werden, statt einfach alles freizugeben. Dann listen Sie alle Attribute auf, die an lokale SPs gehen dürfen, so sie denn in den Metadaten angekündigt wurden:		Sie können in ''conf/attribute-filter.xml'' eine Filter-Policy erstellen, die all Ihren [[de:metadata_local\|lokalen SPs]] dieselben Attribute übermittelt. Um Ihren lokalen Metadatensatz anzusprechen, holen Sie sich daraus den "Name" aus dem EntitiesDescriptor, der auch Ihre Einrichtungsnummer enthält, hier im Beispiel ''https://www.aai.dfn.de/DFN-AAI-Local-999''. Um der Datensparsamkeit genüge zu tun, können Sie von den lokalen SPs verlangen, dass die freizugebenden Attribute in den SP-Metadaten genannt werden, statt einfach alles freizugeben. Dann listen Sie alle Attribute auf, die an lokale SPs gehen dürfen, so sie denn in den Metadaten angekündigt wurden:

config-attributes-minimal

Anonymous (anonymous@undisclosed.example.com) — 2025-05-12T13:34:01+00:00

2024/11/27 09:51		aktuell
Zeile 180:		Zeile 180:
	</code>		</code>

-	Die [[https://wiki.shibboleth.net/confluence/display/IDP4/AACLI\|aacli-Dokumentation]] finden Sie im Shibboleth-Wiki.	+	Die [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199511404/AACLI\|aacli-Dokumentation]] finden Sie im Shibboleth-Wiki.

	{{tag>tutorial included-in-ansible}}		{{tag>tutorial included-in-ansible}}

config-attributes-nahsh

Anonymous (anonymous@undisclosed.example.com) — 2025-05-02T14:19:11+00:00

2022/03/10 10:56		aktuell
Zeile 14:		Zeile 14:
	<PolicyRequirementRule xsi:type="Requester" value="https://dig-aboprod.noncd.db.de/shibboleth" />		<PolicyRequirementRule xsi:type="Requester" value="https://dig-aboprod.noncd.db.de/shibboleth" />
	<AttributeRule attributeID="givenName" permitAny="true"/>		<AttributeRule attributeID="givenName" permitAny="true"/>
-	<!-- Achtung! Bei neuen Shib IdP 4 Installationen muss hier 'sn' stehen! -->	+	<AttributeRule attributeID="sn" permitAny="true"/>
-	<AttributeRule attributeID="surname" permitAny="true"/>	+
	<AttributeRule attributeID="mail" permitAny="true"/>		<AttributeRule attributeID="mail" permitAny="true"/>
	<AttributeRule attributeID="eduPersonUniqueId" permitAny="true"/>		<AttributeRule attributeID="eduPersonUniqueId" permitAny="true"/>
Zeile 25:		Zeile 24:
	</file>		</file>

-	{{tag>idp4 attributfreigabe}}	+	{{tag>attributfreigabe}}

config-attributes-nfdi-aai

Anonymous (anonymous@undisclosed.example.com) — 2026-04-10T06:53:40+00:00

2026/04/09 20:10		aktuell
Zeile 26:		Zeile 26:
	</AttributeFilterPolicy>		</AttributeFilterPolicy>
	</file>		</file>
		+
		+	<callout type="primary" title="Hinweis">
		+	Falls die Freigabe der SAML Subject ID aus Datenschutzgründen problematisch ist, kann der betreffenden Identity-Provider alternativ an das [[de:aai:eduid:idpconfig\|edu-ID-System angeschlossen]] werden und auf diesem Weg mit den Community-AAI-Instanzen der NFDI kommunizieren. In diesem Fall generiert das edu-ID-System eine SAML Subject ID.
		+	</callout>

	{{tag>attributfreigabe nfdi nfdi-aai}}		{{tag>attributfreigabe nfdi nfdi-aai}}

config-attributes-publishers

Anonymous (anonymous@undisclosed.example.com) — 2025-06-04T08:31:31+00:00

2025/06/03 15:51		aktuell
Zeile 95:		Zeile 95:
	<AttributeRule attributeID="eduPersonScopedAffiliation">		<AttributeRule attributeID="eduPersonScopedAffiliation">
	<PermitValueRule xsi:type="OR">		<PermitValueRule xsi:type="OR">
-	<Rule xsi:type="Value" value="member" ignoreCase="true" />	+	<Rule xsi:type="Value" value="member" caseSensitive="false" />
-	<Rule xsi:type="Value" value="library-walk-in" ignoreCase="true" />	+	<Rule xsi:type="Value" value="library-walk-in" caseSensitive="false" />
	</PermitValueRule>		</PermitValueRule>
	</AttributeRule>		</AttributeRule>
	</AttributeFilterPolicy>		</AttributeFilterPolicy>
	</file>		</file>

config-attributes-rands

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:08:01+00:00

2022/03/10 10:57		aktuell
Zeile 30:		Zeile 30:
	</file>		</file>

-	{{tag>idp4 attributfreigabe}}	+	{{tag>attributfreigabe}}

config-attributes-subject_ids

Anonymous (anonymous@undisclosed.example.com) — 2024-11-27T09:56:38+00:00

2022/02/02 13:48		aktuell
Zeile 50:		Zeile 50:
	</file>		</file>

-	{{tag>idp4 attributfreigabe subjectIdentifierAttributes}}	+	{{tag>attributfreigabe subjectIdentifierAttributes}}

config-attributes-tcs

Anonymous (anonymous@undisclosed.example.com) — 2025-06-05T12:25:02+00:00

2025/01/13 15:57		aktuell
Zeile 10:		Zeile 10:

	<callout type="danger" title="Achtung beim Setzen des Entitlements urn:mace:terena.org:tcs:personal-user!">		<callout type="danger" title="Achtung beim Setzen des Entitlements urn:mace:terena.org:tcs:personal-user!">
-	Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement '''urn:mace:terena.org:tcs:personal-user'' setzen: [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation\|Identifizierung und Dokumentation]]. Testuser dürfen dieses Entitlement nicht erhalten!	+	Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement '''urn:mace:terena.org:tcs:personal-user'' setzen: [[de:dfnpki:tcs:2020:usercert#identifizierung_und_dokumentation\|Identifizierung und Dokumentation]]. Testuser dürfen dieses Entitlement nicht erhalten!
	</callout>		</callout>

config-attributes

Anonymous (anonymous@undisclosed.example.com) — 2025-07-29T06:15:09+00:00

2025/05/02 13:31		aktuell
Zeile 111:		Zeile 111:
	* [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung\|DFNconf und DFN-Webconferencing]]		* [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung\|DFNconf und DFN-Webconferencing]]
	* [[de:shibidp:config-attributes-dfnmailsupport\|DFN-Mailsupport]]		* [[de:shibidp:config-attributes-dfnmailsupport\|DFN-Mailsupport]]
		+	* [[de:shibidp:config-attributes-dfn-portale\|DFN-Portale]]
	* [[de:shibidp:config-attributes-dfnterminplaner\|DFN-Terminplaner 6]]		* [[de:shibidp:config-attributes-dfnterminplaner\|DFN-Terminplaner 6]]
	* [[de:shibidp:config-attributes-easyroam4edu\|easyroam]]		* [[de:shibidp:config-attributes-easyroam4edu\|easyroam]]
		+	* [[de:shibidp:config-attributes-dfn-portale\|eduroam Metadaten-Portal]]
	* [[de:shibidp:config-attributes-eduvpn\|eduVPN]] (Pilotprojekt)		* [[de:shibidp:config-attributes-eduvpn\|eduVPN]] (Pilotprojekt)
	* [[de:shibidp:config-attributes-erasmus\|Erasmus-Dienste]]		* [[de:shibidp:config-attributes-erasmus\|Erasmus-Dienste]]

config-cluster

Anonymous (anonymous@undisclosed.example.com) — 2024-07-07T13:52:28+00:00

2022/05/02 14:52		aktuell
Zeile 4:		Zeile 4:
	* Ausführliche Diskussion bei [[https://www.switch.ch/aai/guides/idp/clustering/\|SWITCH]]		* Ausführliche Diskussion bei [[https://www.switch.ch/aai/guides/idp/clustering/\|SWITCH]]
	* [[https://download.aai.dfn.de/ws/2016_fub/2016-06-17_Clustering.pdf\|Präsentation vom IdP 3.x Workshop 2016, FU Berlin]]		* [[https://download.aai.dfn.de/ws/2016_fub/2016-06-17_Clustering.pdf\|Präsentation vom IdP 3.x Workshop 2016, FU Berlin]]
-	* Thorsten Michels, TU Kaiserslautern: [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt65/BT65_AAI_IdP_Keepalive_Michels.pdf\|Shibboleth IdP und keepalived]] (Präsentation von der 65. DFN Betriebstagung)	+	* Thorsten Michels, TU Kaiserslautern: [[https://download.aai.dfn.de/praesentationen/betriebstagungen/65/BT65_AAI_IdP_Keepalive_Michels.pdf\|Shibboleth IdP und keepalived]] (Präsentation von der 65. DFN Betriebstagung)

	===== Beispiel-Setup der DFN-Geschäftsstelle =====		===== Beispiel-Setup der DFN-Geschäftsstelle =====

config-consent-dsgvo-attribute-release

Anonymous (anonymous@undisclosed.example.com) — 2024-07-07T13:55:30+00:00

2024/07/07 15:51		aktuell
Zeile 3:		Zeile 3:

	Anmerkungen:		Anmerkungen:
-	* Die hier aufgelisteten Varianten beziehen sich auf die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www2.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/\|69. DFN-Betriebstagung]].	+	* Die hier aufgelisteten Varianten beziehen sich auf die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der 69. DFN-Betriebstagung.
	* Sollen zusätzlich zu Variante 1 weitere Lösungsmodelle implementiert werden, müssen spezifische Interceptor Flows definiert werden. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].		* Sollen zusätzlich zu Variante 1 weitere Lösungsmodelle implementiert werden, müssen spezifische Interceptor Flows definiert werden. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].
	* Die u.g. Beispiele erfordern entsprechend angepasste Message Properties. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].		* Die u.g. Beispiele erfordern entsprechend angepasste Message Properties. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].

config-consent-dsgvo-attribute-release_shib-idp_4.1.x

Anonymous (anonymous@undisclosed.example.com) — 2024-07-07T13:54:54+00:00

2024/07/07 15:50		aktuell
Zeile 3:		Zeile 3:

	Anmerkungen:		Anmerkungen:
-	* Die hier aufgelisteten Varianten beziehen sich auf die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www2.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/\|69. DFN-Betriebstagung]].	+	* Die hier aufgelisteten Varianten beziehen sich auf die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der 69. DFN-Betriebstagung.
	* Sollen zusätzlich zu Variante 1 weitere Lösungsmodelle implementiert werden, muss das Attribute Release Template entsprechend erweitert und angepasst werden - siehe hierzu unten Variante 2.		* Sollen zusätzlich zu Variante 1 weitere Lösungsmodelle implementiert werden, muss das Attribute Release Template entsprechend erweitert und angepasst werden - siehe hierzu unten Variante 2.
	* Die u.g. Beispiele erfordern entsprechend angepasste Message Properties. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo\|Hauptseite]].		* Die u.g. Beispiele erfordern entsprechend angepasste Message Properties. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo\|Hauptseite]].

config-consent-dsgvo-messages

Anonymous (anonymous@undisclosed.example.com) — 2023-06-07T15:44:22+00:00

2022/02/06 13:18		aktuell
Zeile 195:		Zeile 195:
	authn.title=Anmeldung fehlgeschlagen		authn.title=Anmeldung fehlgeschlagen
	authn.message=Anmeldung war nicht erfolgreich oder die Anforderungen der anfragenden Anwendung konnten nicht erfüllt werden.		authn.message=Anmeldung war nicht erfolgreich oder die Anforderungen der anfragenden Anwendung konnten nicht erfüllt werden.
-	bad-username.message=Der eingegebene Benutzername wurde nicht gefunden.	+	bad-username.message=Anmeldung fehlgeschlagen
-	bad-password.message=Das eingegebene Passwort ist nicht korrekt.	+	bad-password.message=Anmeldung fehlgeschlagen
	expired-password.message=Das Passwort ist abgelaufen.		expired-password.message=Das Passwort ist abgelaufen.
	account-locked.message=Ihr Benutzerkonto ist gesperrt.		account-locked.message=Ihr Benutzerkonto ist gesperrt.

config-consent-dsgvo-profile-intercept

Anonymous (anonymous@undisclosed.example.com) — 2022-02-06T19:20:24+00:00

2021/05/03 15:50		aktuell
Zeile 1:		Zeile 1:
	====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls - Profile Intercept Konfiguration ======		====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls - Profile Intercept Konfiguration ======
-	[[de:shibidp:config-consent-dsgvo\|Zurück zur Hauptseite]]	+	[[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Zurück zur Hauptseite]]

	<file xml ./conf/intercept/profile-intercept.xml>		<file xml ./conf/intercept/profile-intercept.xml>

config-consent-dsgvo-tou-jsp

Anonymous (anonymous@undisclosed.example.com) — 2022-02-06T12:20:26+00:00

2022/02/06 13:13		aktuell
Zeile 1:		Zeile 1:
	====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls - statische Seite (JSP) zur Anzeige des Wortlauts der Terms of Use ======		====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls - statische Seite (JSP) zur Anzeige des Wortlauts der Terms of Use ======
-	[[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Zurück zur Hauptseite]]	+	**Zurück zur Hauptseite: [[de:shibidp:config-consent-dsgvo\|Shib IdP 4.1.x]], [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Shib IdP 4.0.x]]**
	<file html ./edit-webapp/tou.jsp>		<file html ./edit-webapp/tou.jsp>
	<%@ page pageEncoding="UTF-8" %>		<%@ page pageEncoding="UTF-8" %>

config-consent-dsgvo-tou

Anonymous (anonymous@undisclosed.example.com) — 2022-02-06T12:19:49+00:00

2022/02/06 13:19		aktuell
Zeile 1:		Zeile 1:
	====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls - Terms of Use Template ======		====== Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls - Terms of Use Template ======
-	[[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Zurück zur Hauptseite]]	+	**Zurück zur Hauptseite: [[de:shibidp:config-consent-dsgvo\|Shib IdP 4.1.x]], [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Shib IdP 4.0.x]]**

-	===== Shib IdP 3.x =====
-	<file xml ./views/intercept/terms-of-use.vm>
-	##
-	## Velocity Template for DisplayTermsOfUsePage view-state
-	##
-	## Velocity context will contain the following properties :
-	##
-	## encoder - HTMLEncoder class
-	## flowExecutionKey - SWF execution key (this is built into the flowExecutionUrl)
-	## flowExecutionUrl - form action location
-	## flowRequestContext - Spring Web Flow RequestContext
-	## request - HttpServletRequest
-	## response - HttpServletResponse
-	## rpUIContext - context with SP UI information from the metadata
-	## termsOfUseId - terms of use ID to lookup message strings
-	## environment - Spring Environment object for property resolution
-	#set ($serviceName = $rpUIContext.serviceName)
-	#set ($rpOrganizationLogo = $rpUIContext.getLogo())
-	##
-	<!DOCTYPE html>
-	<html>
-	<head>
-	<meta charset="UTF-8">
-	<meta name="viewport" content="width=device-width,initial-scale=1.0">
-	<link rel="stylesheet" type="text/css" href="$request.getContextPath()/css/consent.css">
-	<title>#springMessageText("${termsOfUseId}.title", "Terms of Use")</title>
-	</head>
-	<body>
-	<div class="box">
-	<header>
-	<img src="$request.getContextPath()#springMessage("idp.logo")" alt="#springMessageText("idp.logo.alt-text", "logo")" class="federation_logo">
-	#if ($rpOrganizationLogo)
-	<img src="$encoder.encodeForHTMLAttribute($rpOrganizationLogo)" alt="$encoder.encodeForHTMLAttribute($serviceName)" class="organization_logo">
-	#end
-	</header>
-	<div id="tou-content">
-	<strong>#springMessageText("my-tou.title", "Einwilligungserklärung")</strong><br />
-	#springMessageText("my-service-description", "Description of IdP")
-	#springMessageText("my-tou.text", "Terms of Use Text...")
-	</div>
-	<div id="tou-acceptance">
-	<div style="float:left;">
-	<form action="$flowExecutionUrl" method="post" >
-	<input type="submit" name="_eventId_TermsRejected" value="#springMessageText("idp.terms-of-use.reject", "Refuse")" style="margin-right: 30px;">
-	</form>
-	</div>
-	<div style="float:right;">
-	<form action="$flowExecutionUrl" method="post" >
-	<input id="accept" type="checkbox" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($termsOfUseId)" required>
-	<label for="accept">#springMessageText("idp.terms-of-use.accept", "I accept the terms of use")</label>
-	#if ($requireCheckbox)
-	<p class="form-error">#springMessageText("idp.terms-of-use.required", "Please check this box if you want to proceed.")</p>
-	#end
-	<input type="submit" name="_eventId_proceed" value="#springMessageText("idp.terms-of-use.submit", "Submit")">
-	</form>
-	</div>
-	<div style="clear:both;"></div>
-	</div>
-	<footer>
-	<div class="container container-footer">
-	<p class="footer-text">#springMessageText("idp.footer", "Insert your footer text here.")</p>
-	</div>
-	</footer>
-	</div>
-	</body>
-	</html>
-	</file>
-
-	===== Shib IdP 4.x =====
	<file xml ./views/intercept/terms-of-use.vm>		<file xml ./views/intercept/terms-of-use.vm>
	##		##

config-consent-dsgvo

Anonymous (anonymous@undisclosed.example.com) — 2026-01-30T07:14:25+00:00

2024/07/17 11:30		aktuell
Zeile 76:		Zeile 76:
	</code>		</code>
	== ab IdP-Version 5.0.0 ==		== ab IdP-Version 5.0.0 ==
		+	<code>
		+	%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/2.0.0/fudis-shibboleth-idp-plugin-dsgvo-2.0.0.tar.gz
		+	</code>
		+	== ab IdP-Version 5.2.0 ==
	<code>		<code>
	%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/current/fudis-shibboleth-idp-plugin-dsgvo-current.tar.gz		%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/dsgvo/current/fudis-shibboleth-idp-plugin-dsgvo-current.tar.gz

config-consent-dsgvo_shib-idp_4.0.x

Anonymous (anonymous@undisclosed.example.com) — 2024-07-07T13:46:32+00:00

2024/07/07 15:44		aktuell
Zeile 47:		Zeile 47:

	==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ====		==== Attribute Release aufgrund unterschiedlicher Rechtsgrundlagen ====
-	Wenn die Attributfreigabe fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es entsprechend angepasster [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631714/ProfileInterceptConfiguration\|Interceptor Flows]], die je nach anfragendem SP und ggf. Nutzergruppe aufgerufen werden. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www2.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/\|69. DFN-Betriebstagung]] und die Präsentation [[https://download.aai.dfn.de/ws/2018_fub/interceptor_dsgvo.pdf\|"Wir basteln einen Interceptor Flow"]].	+	Wenn die Attributfreigabe fallweise aufgrund anderer Erlaubnisnormen erfolgt, bedarf es entsprechend angepasster [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631714/ProfileInterceptConfiguration\|Interceptor Flows]], die je nach anfragendem SP und ggf. Nutzergruppe aufgerufen werden. Siehe hierzu die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der 69. DFN-Betriebstagung und die Präsentation [[https://download.aai.dfn.de/ws/2018_fub/interceptor_dsgvo.pdf\|"Wir basteln einen Interceptor Flow"]].

	Neben der angepassten Datei [[de:shibidp:config-consent-dsgvo-attribute-release\|./views/intercept/attribute-release.vm]] (siehe oben) werden hierfür noch die Velocity Templates attribute-info.vm und attribute-must.vm, die von der selben [[de:shibidp:config-consent-dsgvo-attribute-release\|Wiki Seite]] heruntergeladen werden können (Varianten 2 und 3) und die ebenfalls in ''./views/intercept'' abgelegt werden.		Neben der angepassten Datei [[de:shibidp:config-consent-dsgvo-attribute-release\|./views/intercept/attribute-release.vm]] (siehe oben) werden hierfür noch die Velocity Templates attribute-info.vm und attribute-must.vm, die von der selben [[de:shibidp:config-consent-dsgvo-attribute-release\|Wiki Seite]] heruntergeladen werden können (Varianten 2 und 3) und die ebenfalls in ''./views/intercept'' abgelegt werden.

config-custom-installation-directory

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T13:12:56+00:00

2021/05/03 15:12		aktuell
Zeile 34:		Zeile 34:
	</code>		</code>

-	{{tag>idp4 fixme moveme}}	+	{{tag>idp4}}

config-custom-login-flow

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T12:59:16+00:00

2021/05/03 14:45		aktuell
Zeile 18:		Zeile 18:

	In das Installationsverzeichnis wechseln.\\		In das Installationsverzeichnis wechseln.\\
-	Neue Config-File samt Conditions anlegen wie im Abschnitt [[de:shibidp3activationcondition\|Activation Conditions]] beschrieben.	+	Neue Config-File samt Conditions anlegen wie im Abschnitt [[de:shibidp:config-activation-condition\|Activation Conditions]] beschrieben.

	<file xml conf/activation-conditions.xml>		<file xml conf/activation-conditions.xml>

config-deprovisionierung

Anonymous (anonymous@undisclosed.example.com) — 2022-01-14T15:44:59+00:00

2022/01/14 16:43		aktuell
Zeile 107:		Zeile 107:
	</file>		</file>

-	Vergessen Sie nicht, sowohl den ''shib'' als auch den Webserver/httpd neu zu starten*! \\ Danach kann ein Aufruf z.B. direkt mit CURL durchgeführt werden.	+	Vergessen Sie nicht, sowohl den ''shibd'' als auch den Webserver/httpd neu zu starten! \\ Danach kann ein Aufruf z.B. direkt mit CURL durchgeführt werden.

	<code>		<code>

config-ecp

Anonymous (anonymous@undisclosed.example.com) — 2023-03-02T13:40:58+00:00

2023/03/02 14:36		aktuell
Zeile 198:		Zeile 198:
	</file>		</file>

-	{{tag>idp4}}	+	{{tag>idp4 ecp syncandshare}}

config-encryption

Anonymous (anonymous@undisclosed.example.com) — 2025-03-20T13:46:33+00:00

config-extensions-oidc

Anonymous (anonymous@undisclosed.example.com) — 2025-09-08T08:35:51+00:00

2025/08/22 16:21		aktuell
Zeile 465:		Zeile 465:
	</file>		</file>

-	=== 2. Syntax IdP 3.x ===
-
-	Wenn Sie einen IdP betreiben, der seit Shibboleth 3.x nie neu installiert, sondern immer aktualisiert wurde, dann haben Sie die Attribute Registry möglicherweise noch nicht in Betrieb genommen. Die Transcoding-Regeln für die Attribute werden dann nicht aus der Registry geholt, sondern sie müssen direkt in der Attribut-Definition genannt werden. Eine Attributdefinition kann dann so aussehen, hier basierend auf den Attributen uid und persistentId:
-
-	In der Datei ''/opt/shibboleth-idp/conf/attribute-resolver.xml'' Attribute analog zu ''/opt/shibboleth-idp/conf/examples/oidc-attribute-resolver.xml'' ergänzen, inkl. der Namespace-Deklaration im allerersten Absatz:<file xml /opt/shibboleth-idp/conf/attribute-resolver.xml><?xml version="1.0" encoding="UTF-8"?>
-	<AttributeResolver
-	xmlns="urn:mace:shibboleth:2.0:resolver"
-	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
-	xmlns:oidc="urn:mace:shibboleth:2.0:resolver:oidc"
-	xsi:schemaLocation="urn:mace:shibboleth:2.0:resolver http://shibboleth.net/schema/idp/shibboleth-attribute-resolver.xsd
-	urn:mace:shibboleth:2.0:resolver:oidc http://shibboleth.net/schema/oidc/shibboleth-attribute-encoder-oidc.xsd">
-	...
-	<!-- OIDC subjects -->
-	<AttributeDefinition id="subject-public" xsi:type="Simple"
-	activationConditionRef="shibboleth.oidc.Conditions.PublicRequired">
-	<InputDataConnector ref="myLDAP" attributeNames="uid" />
-	<AttributeEncoder xsi:type="oidc:OIDCString" name="sub" />
-	</AttributeDefinition>
-
-	<AttributeDefinition id="subject-pairwise" xsi:type="Simple"
-	activationConditionRef="shibboleth.oidc.Conditions.PairwiseRequired">
-	<InputDataConnector ref="myStoredId" attributeNames="persistentId"/>
-	<AttributeEncoder xsi:type="oidc:OIDCString" name="sub" />
-	</AttributeDefinition>
-	...
-	</file>
-
-	In Datei ''/opt/shibboleth-idp/conf/attribute-filter.xml'' weitere Attribute analog zu ''/opt/shibboleth-idp/conf/examples/oidc-attribute-filter.xml'' ergänzen:<file xml /opt/shibboleth-idp/conf/attribute-filter.xml>...
-	<!-- OIDC scopes -->
-	<AttributeFilterPolicy id="OPENID_SCOPE">
-	<PolicyRequirementRule xsi:type="oidc:OIDCScope" value="openid" />
-	<AttributeRule attributeID="subject-public">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	<AttributeRule attributeID="subject-pairwise">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	</AttributeFilterPolicy>
-
-	<AttributeFilterPolicy id="OPENID_SCOPE_EMAIL">
-	<PolicyRequirementRule xsi:type="oidc:OIDCScope" value="email" />
-	<AttributeRule attributeID="mail">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	<AttributeRule attributeID="email_verified">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	</AttributeFilterPolicy>
-
-	<AttributeFilterPolicy id="OPENID_SCOPE_PROFILE">
-	<PolicyRequirementRule xsi:type="oidc:OIDCScope" value="profile" />
-	<AttributeRule attributeID="displayName">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	<AttributeRule attributeID="sn">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	<AttributeRule attributeID="givenName">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	<AttributeRule attributeID="uid">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	<AttributeRule attributeID="gender">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	<AttributeRule attributeID="eduPersonPrincipalName">
-	<PermitValueRule xsi:type="ANY" />
-	</AttributeRule>
-	</AttributeFilterPolicy>
-	...</file>

	==== Token-Verschlüsselung ====		==== Token-Verschlüsselung ====

config-extensions

Anonymous (anonymous@undisclosed.example.com) — 2021-08-30T14:11:06+00:00

2021/05/03 14:56		aktuell
Zeile 4:		Zeile 4:

	* [[https://wiki.shibboleth.net/confluence/display/IDP4/Contributions+and+Extensions\|Shibboleth Wiki: Contributions and Extensions]] beim IdP 4.x		* [[https://wiki.shibboleth.net/confluence/display/IDP4/Contributions+and+Extensions\|Shibboleth Wiki: Contributions and Extensions]] beim IdP 4.x
-		+	* [[de:shibidp:config-extensions-oidc\|Shibboleth IdP als OpenID Connect - Provider]]
	==== Tipps ====		==== Tipps ====

config-i18n

Anonymous (anonymous@undisclosed.example.com) — 2026-03-06T13:20:25+00:00

2026/03/06 14:19		aktuell
Zeile 44:		Zeile 44:

	===== Sprachumschaltung =====		===== Sprachumschaltung =====
-	Wenn der Benutzer die Sprache einer Seite, die er bereits sieht, umschalten können soll, ist etwas mehr Arbeit nötig. Das kann z.B. durch einen Language-Switch im Standardlayout der Seite erfolgen, der dann an die URL etwas wie ''%lang=en'' anhängt. Das schaltet aber erstmal nur zwischen den oben beschriebenen message.properties um. Damit auch die Texte aus den Metadaten, z.B. die Beschreibung des Service Providers, umgeschaltet werden, muss man Anpassungen in der Datei ''global.xml'' vornehmen. Eine Anleitung gibt es hier: [[https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1435927082/Switching+locale+on+the+login+page\|Link zum Shibboleth-Wiki]]	+	Wenn der Benutzer die Sprache einer Seite, die er bereits sieht, umschalten können soll, ist etwas mehr Arbeit nötig. Das kann z.B. durch einen Language-Switch im Standardlayout der Seite erfolgen, der dann an die URL etwas wie ''&lang=en'' anhängt. Das schaltet aber erstmal nur zwischen den oben beschriebenen message.properties um. Damit auch die Texte aus den Metadaten, z.B. die Beschreibung des Service Providers, umgeschaltet werden, muss man Anpassungen in der Datei ''global.xml'' vornehmen. Eine Anleitung gibt es hier: [[https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1435927082/Switching+locale+on+the+login+page\|Link zum Shibboleth-Wiki]]

	{{tag>idp5 tutorial i18n internationalisierung not-included-in-ansible}}		{{tag>idp5 tutorial i18n internationalisierung not-included-in-ansible}}

config-idm

Anonymous (anonymous@undisclosed.example.com) — 2024-11-27T11:00:40+00:00

2024/09/03 15:37		aktuell
Zeile 157:		Zeile 157:
	* Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp:troubleshooting#opensamlsecuritypolicyexception\|Troubleshooting]]-Seite nach.		* Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp:troubleshooting#opensamlsecuritypolicyexception\|Troubleshooting]]-Seite nach.
	* Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen.		* Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen.
		+	* Bei der Fehlermeldung ''Login Failure: javax.net.ssl.SSLException: Could not initialize SSL context'' stellen Sie bitte sicher, dass in ''./conf/ldap.properties'' beim Pfad zum Zertifikat kein Leerzeichen am Zeilenende steht.
	* Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting\|Shibboleth-Wiki]] nach möglichen Ursachen.		* Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting\|Shibboleth-Wiki]] nach möglichen Ursachen.
	* Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können.		* Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können.
Zeile 162:		Zeile 163:
	Erst wenn der Login funktioniert, sollten Sie weitermachen.		Erst wenn der Login funktioniert, sollten Sie weitermachen.

-	{{tag>idp4 tutorial ldap idm included-in-ansible}}	+	{{tag>tutorial ldap idm included-in-ansible}}

config-ldap-failover

Anonymous (anonymous@undisclosed.example.com) — 2025-03-10T12:46:32+00:00

2023/03/07 10:59		aktuell
Zeile 1:		Zeile 1:
	====== LDAP-Failover ======		====== LDAP-Failover ======

-	Um die Ausfallsicherheit des Identity Providers zu erhöhen, können Sie mehrere (redundante) LDAP-Server und die zu wählende Connection Strategy in der Konfigurationsdatei ''conf/ldap.properties'' angeben ([[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631612/LDAPAuthnConfiguration\|vgl. Shibboleth Wiki]]).	+	Um die Ausfallsicherheit des Identity Providers zu erhöhen, können Sie mehrere (redundante) LDAP-Server und die zu wählende Connection Strategy in der Konfigurationsdatei ''conf/ldap.properties'' angeben ([[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505688/LDAPAuthnConfiguration\|vgl. Shibboleth Wiki]]).

	<code properties>		<code properties>
Zeile 15:		Zeile 15:
	</code>		</code>

-	{{tag>idp4 ldap idm redundanz ausfallsicherheit}}	+	{{tag>idp5 ldap idm redundanz ausfallsicherheit}}

config-ldap-nopool

Anonymous (anonymous@undisclosed.example.com) — 2025-03-10T12:45:31+00:00

2021/05/03 14:10		aktuell
Zeile 4:		Zeile 4:
	Der IdP benutzt standardmäßig eine sogenannte [[http://www.ldaptive.org/docs/guide/connections.html\|PooledConnectionFactory]]. Das heißt, dass eine definierte Anzahl an Verbindungen zum LDAP-Dienst aufrecht erhalten wird und Authentifizierungen sofort stattfinden können (Performance-Verbesserung).		Der IdP benutzt standardmäßig eine sogenannte [[http://www.ldaptive.org/docs/guide/connections.html\|PooledConnectionFactory]]. Das heißt, dass eine definierte Anzahl an Verbindungen zum LDAP-Dienst aufrecht erhalten wird und Authentifizierungen sofort stattfinden können (Performance-Verbesserung).

-	Wenn diese Verbindung beendet wird, so registriert Shibboleth dies und baut selbstständig eine neue auf. Dies kann man über ein paar Parameter in ''conf/ldap.properties'' ([[https://wiki.shibboleth.net/confluence/display/IDP4/LDAPAuthnConfiguration#55804291414bc06da6fe4d90ba837912b84b54aa\|IdP 4.x]]) steuern. In der Konfigurationsdatei sehen Sie die (auskommentierten) Standardeinstellungen und können sie bei Bedarf verändern (Beispiel für IdP 4.x).	+	Wenn diese Verbindung beendet wird, so registriert Shibboleth dies und baut selbstständig eine neue auf. Dies kann man über ein paar Parameter in ''conf/ldap.properties'' ([[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505688/LDAPAuthnConfiguration\|IdP 5.x]]) steuern. In der Konfigurationsdatei sehen Sie die (auskommentierten) Standardeinstellungen und können sie bei Bedarf verändern (Beispiel für IdP 5.x).

	<file properties conf/ldap.properties>		<file properties conf/ldap.properties>
Zeile 31:		Zeile 31:
	</code>		</code>

-	Um den Connection Pool im IdP 4.x abzuschalten, können Sie die Einstellung ''idp.authn.LDAP.disablePooling'' in ''ldap.properties'' auf den Wert ''true'' setzen.	+	Um den Connection Pool im IdP 5.x abzuschalten, können Sie die Einstellung ''idp.authn.LDAP.disablePooling'' in ''ldap.properties'' auf den Wert ''true'' setzen.

-	{{tag>idp4 ldap}}	+	{{tag>idp5 ldap}}

config-leere-attribute-verstecken

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T12:39:47+00:00

2021/05/03 14:15		aktuell

config-log

Anonymous (anonymous@undisclosed.example.com) — 2024-06-10T13:17:31+00:00

2021/10/06 11:25		aktuell
Zeile 7:		Zeile 7:
	* LDAP-Client-Log von WARN auf INFO hochsetzen, damit mehr LDAP-Meldungen kommen,		* LDAP-Client-Log von WARN auf INFO hochsetzen, damit mehr LDAP-Meldungen kommen,
	* Client-IP-Adresse im Log protokollieren zur Vorbereitung der [[de:shibidp:fail2ban\|Brute-Force-Abwehr]],		* Client-IP-Adresse im Log protokollieren zur Vorbereitung der [[de:shibidp:fail2ban\|Brute-Force-Abwehr]],
-	* Wenn der Tomcat hinter einem Loadbalancer betrieben wird, dann erscheint im Log in der Variable ''idp.remote_addr'' die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen, wird im Tomcat in der ''/etc/tomcat9/server.xml'' Folgendes ergänzt:	+	* Wenn der Tomcat hinter einem Loadbalancer betrieben wird, dann erscheint im Log in der Variable ''idp.remote_addr'' die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen, wird im Tomcat in der ''/etc/tomcat10/server.xml'' Folgendes ergänzt:

	FIXME prüfen!		FIXME prüfen!

-	<file xml /etc/tomcat9/server.xml hinter Loadbalancer>	+	<file xml /etc/tomcat10/server.xml hinter Loadbalancer>
	...		...
	<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true">		<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true">

config-logos

Anonymous (anonymous@undisclosed.example.com) — 2023-03-02T12:42:24+00:00

2021/05/03 12:52		aktuell
Zeile 32:		Zeile 32:
	==== Logos in der Metadatenverwaltung ====		==== Logos in der Metadatenverwaltung ====

-	Damit Logo und Favicon auf Info-Seiten und in Auswahllisten automatisch verwendet werden, sollten Sie sie in der DFN-AAI-Metadatenverwaltung eintragen. Als Beispiel sehen Sie den Eintrag für den DFN-TestIdP2. Bitte ersetzen Sie den Hostnamen durch den Ihres IdPs:	+	Damit Logo und Favicon auf Info-Seiten und in Auswahllisten automatisch verwendet werden, sollten Sie sie [[https://doku.tid.dfn.de/de:checklist#logo\|in der DFN-AAI-Metadatenverwaltung eintragen]].

-	{{de:metadata-logo.png}}

	==== Layout-Anpassungen testen ====		==== Layout-Anpassungen testen ====

config-mdv

Anonymous (anonymous@undisclosed.example.com) — 2024-06-10T13:39:54+00:00

2023/01/12 17:43		aktuell
Zeile 51:		Zeile 51:
	</callout>		</callout>

-	Änderungen an den Metadaten werden nicht sofort an die Service Provider in der Föderation propagiert. Wir geben einmal stündlich neu aggregierte, signierte Metadatensätze heraus. Der Cronjob läuft zur vollen Stunde und braucht ca. 10 Minuten. Um sicherzugehen, dass die SPs die neuen Metadaten geholt haben, warten Sie bitte stets 90 Minuten, bevor Sie testen.	+	Änderungen an den Metadaten werden nicht sofort an die Service Provider in der Föderation propagiert. Die in der Metadatenverwaltung hinterlegten Daten (u.a. Zertifikate) werden grundsätzlich zur vollen Stunde aktualisiert und stehen 15-20 Minuten danach zum Download bereit. Bis die aktualisierten Metadaten von allen IdPs und SPs in der Föderation nachgeladen werden, kann es jedoch 2-3 Stunden, in Einzelfällen auch länger dauern. In welchem Turnus die IdPs und SPs die Metadaten der Föderation neu laden, wird in der Konfiguration der jeweiligen Dienste durch deren Admins festgelegt.
		+
		+	Um sicherzugehen, dass die SPs die neuen Metadaten geholt haben, warten Sie bitte stets 90 Minuten, bevor Sie testen.

	{{tag>idp4 tutorial metadatenverwaltung mdv}}		{{tag>idp4 tutorial metadatenverwaltung mdv}}

config-metadata

Anonymous (anonymous@undisclosed.example.com) — 2025-08-26T07:59:38+00:00

2024/07/05 16:02		aktuell
Zeile 65:		Zeile 65:
	===== Metadatenabruf hinter Proxy =====		===== Metadatenabruf hinter Proxy =====

-	So konfigurieren Sie einen Metadata-Provider, wenn Ihr IdP durch einen [[https://wiki.shibboleth.net/confluence/display/IDP4/FileBackedHTTPMetadataProvider#FileBackedHTTPMetadataProvider-HTTPProxyAttributesHTTPProxyAttributes\|Proxy]] geleitet wird:	+	So konfigurieren Sie einen Metadata-Provider, wenn Ihr IdP durch einen [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199506865/FileBackedHTTPMetadataProvider\|Proxy]] geleitet wird:

	<file xml ./conf/metadata-providers.xml>		<file xml ./conf/metadata-providers.xml>
Zeile 84:		Zeile 84:
	</file>		</file>

-	{{tag> idp4 tutorial metadaten metadata included-in-ansible}}	+	{{tag> tutorial metadaten metadata included-in-ansible}}

config-monitoring

Anonymous (anonymous@undisclosed.example.com) — 2021-05-03T12:58:36+00:00

2021/05/03 14:58		aktuell

config-per-attribute-consent

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T09:16:41+00:00

2025/04/22 11:46		aktuell
Zeile 1:		Zeile 1:
	====== Per Attribute Consent für vom SP nicht 'required' Attribute ======		====== Per Attribute Consent für vom SP nicht 'required' Attribute ======

-	In den allgemeinen Properties (''conf/idp.properties'') des IdP kann man einen //per Attrbute Consent// einstellen (''idp.consent.allowPerAttribute = true''). D.h. der Nutzer kann für jedes Attribut über eine Checkbox entscheiden, ob der Wert an den SP übertragen wird oder nicht. Das macht im Sinne des Prozesses aber nur Sinn, für die Attribute, die vom SP nicht explizit über die Metadaten (mit dem Tag ''required="True"'' versehen) angefordert werden.	+	In den allgemeinen Properties (''conf/idp.properties'') des IdP kann man einen //per Attrbute Consent// einstellen (''idp.consent.allowPerAttribute = true''). D.h. der Nutzer kann für jedes Attribut, das nicht explizit von SP über die Metadaten angefordert wird (mit dem Tag ''required="True"'' versehen), über eine Checkbox entscheiden, ob der Wert an den SP übertragen wird oder nicht.

-	Um das auf der Attribute-Release Seite zu berücksichtigen sind folgende zwei kleine Anpassungen vorzunehmen:	+	In der Default-Konfiguration des IdP werden mit dieser Einstellung auf der Attribute-Release Seite die required-Attribute nicht angezeigt.
		+	Folgende Anpassungen sind für eine Anzeige der required-Attribute vorzunehmen:

-	* Änderungen in der Datei ''views/intercept/attribute-release.vm'':	+	* Ergänzung in der Datei ''views/intercept/attribute-release.vm''
	<code>		<code>
	...		...
Zeile 12:		Zeile 13:
	...		...
	</code>		</code>
		+
		+	* Im Velocity Template die Checkbox für non-required Attribute anzeigen. Required Attribute werden ohne Checkbox angezeigt. Dazu wird in der Datei ''views/intercept/attribute-release.vm'' folgende if-Anweisung ersetzt:

-	FIXME: nachfolgende Anpassung der attribute-release.vm für IdP v5 aktualisieren.	+	<code>
-	* Im Velocity Template die Checkbox nur für non-required Attribute anzeigen. Dazu die Datei ''views/intercept/attribute-release.vm'' anpassen:	+
-		+
-	<file html4strict views/intercept/attribute-release.vm>	+
	...		...
-	<!-- Attribute Liste - Tabelle Start -->
-	<table class="listing">
-	<thead>
-	<tr>
-	<th colspan="2">
-	#springMessageText("idp.attribute-release.attributesHeader", "Information to be Provided to Service")
-	</th>
-	<th>
-	<!-- check / uncheck all -->
-	#if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled )
-	<script language="JavaScript">
-	function toggle(source) {
-	checkboxes = document.getElementsByName('_shib_idp_consentIds');
-	for(var i=0, n=checkboxes.length;i<n;i++) {
-	if(checkboxes[i].type != "hidden"){
-	checkboxes[i].checked = source.checked;
-	}
-	}
-	}
-	</script>
-	<input type="checkbox" onClick="toggle(this)" checked />#springMessageText("idp.attribute-release.ToggleAll", "Alle")<br/>
-	#end
-	</th>
-	</tr>
-	</thead>
-	<tbody>
	#foreach ($attribute in $attributeReleaseContext.getConsentableAttributes().values())		#foreach ($attribute in $attributeReleaseContext.getConsentableAttributes().values())
-	<tr>	+	#if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled)
-	<td>	+	<fieldset>
-	$encoder.encodeForHTML($attributeDisplayNameFunction.apply($attribute))	+	<input id="$attribute.id" type="checkbox" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($attribute.id)" checked>
-	</td>	+	<label for="$attribute.id">$encoder.encodeForHTML($attributeDisplayNameFunction.apply($attribute))</label>
-	<td>	+	#else
-	#foreach ($value in $attribute.values)	+	<p>$encoder.encodeForHTML($attributeDisplayNameFunction.apply($attribute))</p>
-	<strong>$encoder.encodeForHTML($value.getDisplayValue())</strong>	+	<input id="$attribute.id" type="hidden" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($attribute.id)">
-	<br />	+	#end
-	#end	+
-	</td>	+
-	<td>	+
-	#if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled )	+
-	<!-- $attributeRequired.apply($attribute)) return "true" for required attributes -->	+
-	#if (!$attributeRequired.apply($attribute))	+
-	<!-- not required, allow to check separably -->	+
-	#set ($inputType = "checkbox")	+
-	#else	+
-	<!-- required, don't allow to check separably -->	+
-	#set ($inputType = "hidden")	+
-	<!-- inform the user, that is a required attribute -->	+
-	<strong>#springMessageText("idp.attribute-release.requiredLabel", "notwendig")</strong>	+
-	#end	+
-	#else	+
-	#set ($inputType = "hidden")	+
-	#end	+
-	<input id="$attribute.id" type="$inputType" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($attribute.id)" checked \>	+
-	</td>	+
-	</tr>	+
-	#end	+
-	</tbody>	+
	...		...
		+	</code>

-		+	* durch:
-	</file>	+	<code>
-		+
-	* Damit auch die Internationalisierung klappt, müssen die Message Properties noch ergänzt werden.	+
-		+
-	<file properties messages/messages.properties>	+
	...		...
-	idp.attribute-release.ToggleAll = Alle	+	#foreach ($attribute in $attributeReleaseContext.getConsentableAttributes().values())
-	idp.attribute-release.requiredLabel = notwendig	+	#if ($attributeReleaseFlowDescriptor.perAttributeConsentEnabled)
		+	<fieldset>
		+	#if ($isAttributeRequired.test($attribute))
		+	<input id="$attribute.id" type="hidden" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($attribute.id)">
		+	#else
		+	<input id="$attribute.id" type="checkbox" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($attribute.id)" checked>
		+	#end
		+	<label for="$attribute.id">$encoder.encodeForHTML($attributeDisplayNameFunction.apply($attribute))</label>
		+	#else
		+	<p>$encoder.encodeForHTML($attributeDisplayNameFunction.apply($attribute))</p>
		+	<input id="$attribute.id" type="hidden" name="_shib_idp_consentIds" value="$encoder.encodeForHTML($attribute.id)">
		+	#end
	...		...
-		+	</code>
-		+
-	</file>	+

	Wird der AttributeQuery benutzt, muss auch hier der letzte Consent vom Nutzer beachtet werden. Dazu ist in ''conf/intercept/consent-intercept-config.xml'' für die Bean ''shibboleth.consent.AttributeQuery.Condition'' der parent Parameter auf den Wert ''shibboleth.Conditions.TRUE'' zu setzen, siehe hierzu unter [[de:shibidp:config-storage#user_consent_zu_attributfreigabe_bei_attribute_queries_beruecksichtigen\|Server-Side-Storage, Sessions, User Consent und Persistent Identifier]]. Damit werden auch AttributeQueries gegen die zuletzt gespeicherte Nutzereinwilligung gefiltert. Hat der Nutzer nur einmal zugestimmt, werden keine Attribute übertragen.		Wird der AttributeQuery benutzt, muss auch hier der letzte Consent vom Nutzer beachtet werden. Dazu ist in ''conf/intercept/consent-intercept-config.xml'' für die Bean ''shibboleth.consent.AttributeQuery.Condition'' der parent Parameter auf den Wert ''shibboleth.Conditions.TRUE'' zu setzen, siehe hierzu unter [[de:shibidp:config-storage#user_consent_zu_attributfreigabe_bei_attribute_queries_beruecksichtigen\|Server-Side-Storage, Sessions, User Consent und Persistent Identifier]]. Damit werden auch AttributeQueries gegen die zuletzt gespeicherte Nutzereinwilligung gefiltert. Hat der Nutzer nur einmal zugestimmt, werden keine Attribute übertragen.
Zeile 95:		Zeile 54:
	Für das Propagieren des zusätzlichen Objektes in den Attribute-Release-Flow ist leider ein Neustart des IdP nötig.		Für das Propagieren des zusätzlichen Objektes in den Attribute-Release-Flow ist leider ein Neustart des IdP nötig.

-
-	{{tag>fixme}}

config-pidspecials

Anonymous (anonymous@undisclosed.example.com) — 2025-03-10T13:12:20+00:00

2025/03/10 14:11		aktuell
Zeile 166:		Zeile 166:
	Übrig bleibt nun noch das Entfernen der ''uid'' als Bestandteil der Bildungsvorschriften anderer Attribute, z.B. beim ''eduPersonPrincipalName'' (= uid + "@uni-xy.de"). An den Bestandsnutzern kann man da nichts machen, der Plan ist aber, für neue Benutzer auch hier eduPersonPrincipalName = eduPersonUniqueId auszuliefern. Das sollte dann für eine ausreichende Kollisionsfreiheit sorgen.		Übrig bleibt nun noch das Entfernen der ''uid'' als Bestandteil der Bildungsvorschriften anderer Attribute, z.B. beim ''eduPersonPrincipalName'' (= uid + "@uni-xy.de"). An den Bestandsnutzern kann man da nichts machen, der Plan ist aber, für neue Benutzer auch hier eduPersonPrincipalName = eduPersonUniqueId auszuliefern. Das sollte dann für eine ausreichende Kollisionsfreiheit sorgen.

-	{{tag>idp4}}	+	{{tag>idp5}}

config-sealer

Anonymous (anonymous@undisclosed.example.com) — 2024-07-26T08:02:40+00:00

2024/06/28 13:46		aktuell
Zeile 7:		Zeile 7:
	</callout>		</callout>

-	In der Standardeinstellung speichert der Shibboleth IdP Informationen zu Sitzungen und User Consent clientseitig im Browser, in Cookies und ggf. HTML Local Storage ([[https://wiki.shibboleth.net/confluence/display/IDP4/SecretKeyManagement\|siehe Shibboleth Wiki]]). Diese Daten werden durch Verschlüsselung geschützt. Die Keys, die dabei zum Einsatz kommen, sollten regelmäßig getauscht werden, wenn Sie die oben genannten Informationen //nicht// serverseitig speichern.	+	In der Standardeinstellung speichert der Shibboleth IdP Informationen zu Sitzungen und User Consent clientseitig im Browser, in Cookies und ggf. HTML Local Storage ([[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199501624/SecretKeyManagement\|siehe Shibboleth Wiki]]). Diese Daten werden durch Verschlüsselung geschützt. Die Keys, die dabei zum Einsatz kommen, sollten regelmäßig getauscht werden, wenn Sie die oben genannten Informationen //nicht// serverseitig speichern.

	===== Key-Rollover automatisieren =====		===== Key-Rollover automatisieren =====

config-slo

Anonymous (anonymous@undisclosed.example.com) — 2024-07-24T14:13:09+00:00

2024/07/24 15:48		aktuell
Zeile 53:		Zeile 53:
	Achtung: Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren, prüfen Sie bitte, ob in der Apache-Konfiguration die X-FRAME-OPTION "SAMEORIGIN" gesetzt ist, siehe auch [[de:shibidp:prepare-http#vhost-konfiguration\|HTTP Server]].		Achtung: Sollte trotz vermeintlich richtiger Konfiguration das Logout nicht funktionieren, prüfen Sie bitte, ob in der Apache-Konfiguration die X-FRAME-OPTION "SAMEORIGIN" gesetzt ist, siehe auch [[de:shibidp:prepare-http#vhost-konfiguration\|HTTP Server]].

-	Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die [[https://wiki.shibboleth.net/confluence/display/IDP4/LogoutConfiguration\|Dokumentation im Shibboleth-Wiki]].	+	Zu weiteren Konfigurationsmöglichkeiten und Hintergrundinformationen siehe die [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199510118/LogoutConfiguration\|Dokumentation im Shibboleth-Wiki]].

	===== Besonderheit IIS-basierter SP =====		===== Besonderheit IIS-basierter SP =====

config-storage-postgresql

Anonymous (anonymous@undisclosed.example.com) — 2025-11-24T12:58:47+00:00

2025/11/19 16:35		aktuell
Zeile 21:		Zeile 21:
	</code>		</code>
	</del>		</del>
		+
		+	Damit die DB beim Booten gestartet wird:
		+	<code bash>
		+	root@idp:~# systemctl enable postgresql
		+	</code>

	2. Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren:		2. Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren:

config-storage

Anonymous (anonymous@undisclosed.example.com) — 2025-05-20T07:35:11+00:00

2025/04/28 08:39		aktuell
Zeile 15:		Zeile 15:

	===== Datenbank-Konfiguration =====		===== Datenbank-Konfiguration =====
-	Wir zeigen die Vorgehensweise hier anhand von MariaDB. Es ist aber möglich, andere Datenbank-Software zu verwenden, etwa MySQL, Oracle oder Postgres, siehe hierzu die Dokumentation im [[https://wiki.shibboleth.net/confluence/display/IDP4/StorageConfiguration\|Shibboleth-Wiki]]. Ein Beispiel für PostgreSQL findet sich bei [[https://www.switch.ch/aai/guides/idp/installation/#sqldatabase\|SWITCHAAI]].	+	Wir zeigen die Vorgehensweise hier anhand von MariaDB. Es ist aber möglich, andere Datenbank-Software zu verwenden, etwa MySQL, Oracle oder Postgres, siehe hierzu die Dokumentation im [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199509576/StorageConfiguration\|Shibboleth-Wiki]]. Ein Beispiel für PostgreSQL findet sich bei [[https://www.switch.ch/aai/guides/idp/installation/#sqldatabase\|SWITCHAAI]].

	==== Installation ====		==== Installation ====

config-testzugang

Anonymous (anonymous@undisclosed.example.com) — 2025-03-10T13:16:49+00:00

2022/11/28 15:43		aktuell
Zeile 4:		Zeile 4:
	* Ein neuer Service-Provider soll an den Identity-Provider einer Hochschule angebunden werden. Der SP wird von einem externen Partner administriert, dessen Mitarbeitende keine Angehörigen der Hochschule sind. Eine dieser Personen muss jedoch den Zugang zum SP via Shibboleth testen. Dazu benötigt sie einen Gastaccount bei der Hochschule um sich an deren IdP authentisieren zu können.		* Ein neuer Service-Provider soll an den Identity-Provider einer Hochschule angebunden werden. Der SP wird von einem externen Partner administriert, dessen Mitarbeitende keine Angehörigen der Hochschule sind. Eine dieser Personen muss jedoch den Zugang zum SP via Shibboleth testen. Dazu benötigt sie einen Gastaccount bei der Hochschule um sich an deren IdP authentisieren zu können.
	* Für den Zugang zu einem lokalen SP wird ein Funktionsaccount eingerichtet.		* Für den Zugang zu einem lokalen SP wird ein Funktionsaccount eingerichtet.
-	*	+
	Das Problem: Der Login über einen solchen Gast- oder Funktionsaccount darf keinen Zugriff auf andere Service-Provider ermöglichen.		Das Problem: Der Login über einen solchen Gast- oder Funktionsaccount darf keinen Zugriff auf andere Service-Provider ermöglichen.

Zeile 65:		Zeile 65:

	Dabei ist ''shibgast'' die User Id des Gast-/Funktionsaccounts, und ''%%https://sp.example.org/shibboleth%%'' die Entity Id des Service Providers, auf den diese Person(en) Zugriff erhalten soll(en). Passen Sie diese Werte sowie den Namen des Quell-Attributs (hier ''uid'') bitte entsprechend an. Die Bedingung ist erfüllt, wenn		Dabei ist ''shibgast'' die User Id des Gast-/Funktionsaccounts, und ''%%https://sp.example.org/shibboleth%%'' die Entity Id des Service Providers, auf den diese Person(en) Zugriff erhalten soll(en). Passen Sie diese Werte sowie den Namen des Quell-Attributs (hier ''uid'') bitte entsprechend an. Die Bedingung ist erfüllt, wenn
-	* eine Person sich //nicht// mit ''shibgas'' angemeldet hat oder	+	* eine Person sich //nicht// mit ''shibgast'' angemeldet hat oder
	* eine Person auf den fraglichen SP zugreift.		* eine Person auf den fraglichen SP zugreift.
	Anders ausgedrückt: Wenn ''shibgast'' sich mit einem anderen SP verbindet, ist die Bedingung nicht erfüllt und der Context Check - und somit auch die Anmeldung - schlagen fehl.		Anders ausgedrückt: Wenn ''shibgast'' sich mit einem anderen SP verbindet, ist die Bedingung nicht erfüllt und der Context Check - und somit auch die Anmeldung - schlagen fehl.
Zeile 79:		Zeile 79:
	Anschließend den IdP neu starten.		Anschließend den IdP neu starten.

-	{{tag>idp4}}	+	{{tag>idp5}}

config-tou

Anonymous (anonymous@undisclosed.example.com) — 2024-09-27T13:12:11+00:00

2024/07/23 16:48		aktuell
Zeile 67:		Zeile 67:
	</file>		</file>

-	Nach Änderungen im ''messages''-Ordner müssen Sie die Datei ''./war/idp.war'' erneuern lassen: ''./bin/build.sh''	+	Nach Änderungen im ''messages''-Ordner müssen Sie die Datei ''./war/idp.war'' erneuern lassen:
		+	<code bash>
		+	root@idp:~# /opt/shibboleth-idp/bin/build.sh
		+	</code>

	===== Dauerhafte Einsehbarkeit der ToU =====		===== Dauerhafte Einsehbarkeit der ToU =====

config-x509

Anonymous (anonymous@undisclosed.example.com) — 2025-11-21T07:49:28+00:00

2021/05/03 14:53		aktuell
Zeile 132:		Zeile 132:
	Hier wird der wie oben beschrieben erzeugte Principal als Eingangswert für das Attribut ''uid'' verwendet.		Hier wird der wie oben beschrieben erzeugte Principal als Eingangswert für das Attribut ''uid'' verwendet.

-	{{tag>fixme}}	+	{{tag>archiv}}

config-zertifikate

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:42:39+00:00

2024/06/25 15:31		aktuell
Zeile 64:		Zeile 64:
	Die Datei ''./metadata/idp-metadata.xml'' enthält nach wie vor die selbst-signierten Zertifikate, die bei der Installation automatisch generiert wurden. Diese Datei wird nicht automatisch aktualisiert. Das ist kein Problem, denn die Datei ist für den Betrieb des IdP nicht erforderlich. Sie ist als Hilfsmittel zur initialen Registrierung des IdP in einer Föderation gedacht. Wir empfehlen diese Datei "in Ruhe" zu lassen.		Die Datei ''./metadata/idp-metadata.xml'' enthält nach wie vor die selbst-signierten Zertifikate, die bei der Installation automatisch generiert wurden. Diese Datei wird nicht automatisch aktualisiert. Das ist kein Problem, denn die Datei ist für den Betrieb des IdP nicht erforderlich. Sie ist als Hilfsmittel zur initialen Registrierung des IdP in einer Föderation gedacht. Wir empfehlen diese Datei "in Ruhe" zu lassen.

-	{{tag>idp4 tutorial included-in-ansible}}	+	{{tag>tutorial}}

config

Anonymous (anonymous@undisclosed.example.com) — 2024-07-16T11:59:19+00:00

2024/06/10 14:05		aktuell
Zeile 8:		Zeile 8:

	<code bash>		<code bash>
-	root@idp:~# tail -f /var/log/tomcat9/catalina.DATUM.log	+	root@idp:~# tail -f /var/log/tomcat10/catalina.DATUM.log
	</code>		</code>
	<code bash>		<code bash>

dfn_misc_transcoder

Anonymous (anonymous@undisclosed.example.com) — 2025-04-23T06:05:09+00:00

2023/01/03 12:24		aktuell
Zeile 77:		Zeile 77:
	</file>		</file>

-	{{tag>idp4}}

fail2ban

Anonymous (anonymous@undisclosed.example.com) — 2020-04-07T12:51:51+00:00

2026/05/01 06:52	aktuell
Zeile 1:	Zeile 1:
	+	====== Abwehr von Brute Force Attacken ======

	+	Da der IdP weltweit erreichbar ist, ist es einem Angreifer prinzipiell möglich, Usernamen/Passwörter beliebig lange durchzuprobieren. Solche Angriffe können z.B. mithilfe der Intrusion Prevention-Software [[http://www.fail2ban.org\|fail2ban]] abgewehrt werden. Fail2ban sperrt dann IP-Adressen, von denen zu viele Fehlversuchen kommen.
	+
	+	===== Anpassen des Logformats von Shibboleth =====
	+
	+	Das IdP-Logformat muss angepasst werden, wie unter [[de:shibidp:config-log\|Logging]] beschrieben.
	+
	+	===== Installation von fail2ban =====
	+
	+	<code bash>
	+	root@idp:~# apt install fail2ban
	+	</code>
	+
	+	===== Konfiguration von fail2ban =====
	+
	+	<file ini /etc/fail2ban/filter.d/idp.conf>
	+	[Definition]
	+	failregex = IP\:<HOST> .* Login by .* failed
	+	IP\:<HOST> .* No password available
	+	ignoreregex =
	+	</file>
	+
	+	<file ini /etc/fail2ban/jail.local>
	+	[idp]
	+	enabled = true
	+	port = http,https
	+	filter = idp
	+	logpath = /opt/shibboleth-idp/logs/idp-process.log
	+	maxretry = 5
	+	</file>
	+
	+	===== Fail2ban über Apache =====
	+
	+	Ein Teilnehmer der DFN-AAI hat eine Lösung erarbeitet, mit der gesperrte Nutzer*innen darüber informiert werden können, warum sie den IdP nicht mehr erreichen können: Er hat fail2ban genutzt, um auf eine Informationsseite umzuleiten. Die Vorgehensweise in Stichworten:
	+
	+	* Anleitung, um alle Anfragen von geblacklisteten IPs umzuleiten: https://httpd.apache.org/docs/2.4/rewrite/access.html#host-deny
	+	* Erklärung auf Zielseite stellen, aus der hervorgeht, dass zu viele Anmeldeversuche fehlgeschlagen sind und wann die Person es erneut versuchen kann.
	+	* Apache-Konfiguration:<code bash>RewriteEngine on
	+	RewriteMap hosts-deny "txt:/etc/apache2/conf.d/shib.deny"
	+	RewriteCond "${hosts-deny:%{REMOTE_ADDR}\|NOT-FOUND}" "!=NOT-FOUND"
	+	RewriteRule ^(.*)$ %{DOCUMENT_ROOT}/Blockiert/index.html [L]
	+	<Directory "/srv/www/htdocs/Blockiert">
	+	AllowOverride
	+	Require all granted
	+	</Directory></code>
	+	* neue Datei im Verzeichnis ''/etc/fail2ban/action.d'' erstellen, die regelt, wie eine IP-Adresse gebannt und wieder freigegeben wird:<code bash>actionban = printf %%b "<ip> -\n" >> <deny-config>
	+	actionunban = sed -i "/^<ip> -$/d" <deny-config>
	+	deny-config = /etc/apache2/conf.d/shib.deny
	+	</code>

install

Anonymous (anonymous@undisclosed.example.com) — 2025-07-10T13:07:36+00:00

2025/07/10 15:06		aktuell
Zeile 132:		Zeile 132:
	'IHR-NETZ/IHRE-NETZMASKE',		'IHR-NETZ/IHRE-NETZMASKE',
	'193.174.247.0/24', '2001:638:206:1::/64',		'193.174.247.0/24', '2001:638:206:1::/64',
-	'194.95.243.0/24', '2001:638:d:c003::/64',
	'194.95.242.0/24', '2001:638:d:c002::/64',		'194.95.242.0/24', '2001:638:d:c002::/64',
		+	'194.95.243.0/24', '2001:638:d:c003::/64',
	'194.95.244.0/24', '2001:638:d:c004::/64'		'194.95.244.0/24', '2001:638:d:c004::/64'
	} }" />		} }" />

installation_jdbc-plugin_und_nashorn-plugin

Anonymous (anonymous@undisclosed.example.com) — 2024-09-23T14:25:40+00:00

2024/09/19 10:05		aktuell
Zeile 43:		Zeile 43:
	p:username="%{mysql.username}" p:username="%{mysql.username}"		p:username="%{mysql.username}" p:username="%{mysql.username}"
	p:password="%{mysql.password}" p:password="%{mysql.password}"		p:password="%{mysql.password}" p:password="%{mysql.password}"
-	p:maxWait="15000" p:maxWait="15000"	+	p:maxWait="15000" \| p:maxWaitMillis="15000"
	p:testOnBorrow="true" p:testOnBorrow="true"		p:testOnBorrow="true" p:testOnBorrow="true"
-	p:maxActive="100" p:maxActive="100"	+	p:maxActive="100" \| p:maxTotal="100"
	p:maxIdle="100" p:maxIdle="100"		p:maxIdle="100" p:maxIdle="100"
	p:validationQuery="select 1" p:validationQuery="select 1"		p:validationQuery="select 1" p:validationQuery="select 1"
Zeile 77:		Zeile 77:
	- Falls in Ihrer ''conf/idp.properties'' noch ''shibboleth.JPAStorageService'' vorkommt, ersetzen Sie die Stellen durch ''JDBCStorageService''.<code properties>idp.session.StorageService = JDBCStorageService		- Falls in Ihrer ''conf/idp.properties'' noch ''shibboleth.JPAStorageService'' vorkommt, ersetzen Sie die Stellen durch ''JDBCStorageService''.<code properties>idp.session.StorageService = JDBCStorageService
	idp.consent.StorageService = JDBCStorageService</code>		idp.consent.StorageService = JDBCStorageService</code>
		+	- Die Shibboleth-Entwickler empfehlen nicht mehr das tomcat-pooling zu verwenden, sondern [[https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2989096970/JDBCStorageService#Connection-Pooling \| DBCP 2]]. Die Datenbank-Class wird entsprechend in ''conf/idp.properties'' angepasst:<code>mysql.class = org.apache.commons.dbcp2.BasicDataSource</code>
	- Wenn Sie darüber hinaus das OIDC-Plugin auf Ihrem IdP nutzen, kann es sein, dass Sie den String ''shibboleth.JPAStorageService'' auch in den Dateien ''conf/oidc.properties''...<code properties>idp.oidc.dynreg.StorageService = JDBCStorageService</code>... und/oder ''conf/oidc-clientinfo-resolvers.xml'' ersetzen müssen.<code xml><bean id="StorageClientInformationResolver" parent="shibboleth.oidc.StorageClientInformationResolver"		- Wenn Sie darüber hinaus das OIDC-Plugin auf Ihrem IdP nutzen, kann es sein, dass Sie den String ''shibboleth.JPAStorageService'' auch in den Dateien ''conf/oidc.properties''...<code properties>idp.oidc.dynreg.StorageService = JDBCStorageService</code>... und/oder ''conf/oidc-clientinfo-resolvers.xml'' ersetzen müssen.<code xml><bean id="StorageClientInformationResolver" parent="shibboleth.oidc.StorageClientInformationResolver"
	p:storageService-ref="JDBCStorageService" /></code>		p:storageService-ref="JDBCStorageService" /></code>

mfa

Anonymous (anonymous@undisclosed.example.com) — 2024-07-07T13:42:31+00:00

2022/04/07 16:27		aktuell
Zeile 4:		Zeile 4:
	* [[de:shibidp:plugin-fudiscr\|IdP-Authn-Plugin fudiscr]]		* [[de:shibidp:plugin-fudiscr\|IdP-Authn-Plugin fudiscr]]
	* [[de:aai:refeds_authn_profiles_idp\|REFEDS Authentication Profiles]]		* [[de:aai:refeds_authn_profiles_idp\|REFEDS Authentication Profiles]]
-	* Vortrag: [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt68/BT68_AAI_2FA_Hardwaretoken_Simon.pdf \| "2FA mit Hardwaretoken für alle Mitarbeiter"]], Michael Simon, Karlsruher Institut für Technologie (KIT) bei der 68. DFN-Betriebstagung, 14.03.2018	+	* Vortrag: [[https://download.aai.dfn.de/praesentationen/betriebstagungen/68/BT68_AAI_2FA_Hardwaretoken_Simon.pdf \| "2FA mit Hardwaretoken für alle Mitarbeiter"]], Michael Simon, Karlsruher Institut für Technologie (KIT) bei der 68. DFN-Betriebstagung, 14.03.2018
-	* Vortrag: [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt68/BT68_AAI_2FA_FU_Berlin_Mainz_Hofmann.pdf \| "2FA Einführung an der Freien Universität Berlin"]], P. Mainz und S. Hofmann, Freie Universität Berlin, ZEDAT, 14.03.2018	+	* Vortrag: [[https://download.aai.dfn.de/praesentationen/betriebstagungen/68/BT68_AAI_2FA_FU_Berlin_Mainz_Hofmann.pdf \| "2FA Einführung an der Freien Universität Berlin"]], P. Mainz und S. Hofmann, Freie Universität Berlin, ZEDAT, 14.03.2018
-	* Vortrag: [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt65/BT65_AAI_Shib-LinOTP_Simon.pdf \| "Zwei-Faktor-Authentifizierung mit Shibboleth IdP und LinOTP"]], Michael Simon, Karlsruher Institut für Technologie (KIT) bei der 65. DFN-Betriebstagung, 28.09.2016, [[https://www.linotp.org/\|LinOTP]], [[https://github.com/cyber-simon/idp-auth-linotp \| Github-Repo]]	+	* Vortrag: [[https://download.aai.dfn.de/praesentationen/betriebstagungen/65/BT65_AAI_Shib-LinOTP_Simon.pdf \| "Zwei-Faktor-Authentifizierung mit Shibboleth IdP und LinOTP"]], Michael Simon, Karlsruher Institut für Technologie (KIT) bei der 65. DFN-Betriebstagung, 28.09.2016, [[https://www.linotp.org/\|LinOTP]], [[https://github.com/cyber-simon/idp-auth-linotp \| Github-Repo]]
-	* Vortrag: [[https://www2.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt64/BT64_AAI_2Faktor_Authentifizierung_Brune.pdf \| "Zwei-Faktor-Authentifizierung an der Universität Bielefeld"]], H. Brune, Universität Bielefeld bei der 64. DFN-Betriebstagung, 02.03.2016	+	* Vortrag: [[https://download.aai.dfn.de/praesentationen/betriebstagungen/64/BT64_AAI_2Faktor_Authentifizierung_Brune.pdf \| "Zwei-Faktor-Authentifizierung an der Universität Bielefeld"]], H. Brune, Universität Bielefeld bei der 64. DFN-Betriebstagung, 02.03.2016

	{{tag>2FA MFA Zwei-Faktor-Authentifizierung Mehr-Faktor-Authentifizierung Mehrfaktorauthentifizierung}}		{{tag>2FA MFA Zwei-Faktor-Authentifizierung Mehr-Faktor-Authentifizierung Mehrfaktorauthentifizierung}}

migration

Anonymous (anonymous@undisclosed.example.com) — 2021-10-25T14:02:58+00:00

oidc-proxy

Anonymous (anonymous@undisclosed.example.com) — 2026-04-27T10:37:18+00:00

2026/04/21 09:36		aktuell
Zeile 31:		Zeile 31:
	\| [[https://app.onetutor.ai\|OneTutor]] \| OneTutor ist eine KI-gestützte Lernplattform, die Lehrende bei der Wissensvermittlung unterstützt. Der digitale Tutor bereitet vorhandene Kursmaterialien auf und stellt sie den Studierenden in interaktiver Form zur Verfügung. So lassen sich Inhalte einfacher vermitteln, die Eigenmotivation steigern und der Lernerfolg nachhaltig sichern. \| [[https://onetutor.ai\|OneTutor GmbH]] \| contact@onetutor.ai \| https://app.onetutor.ai/privacy \| sub, schac_home_organization, organization_name, eduperson_affiliation \|		\| [[https://app.onetutor.ai\|OneTutor]] \| OneTutor ist eine KI-gestützte Lernplattform, die Lehrende bei der Wissensvermittlung unterstützt. Der digitale Tutor bereitet vorhandene Kursmaterialien auf und stellt sie den Studierenden in interaktiver Form zur Verfügung. So lassen sich Inhalte einfacher vermitteln, die Eigenmotivation steigern und der Lernerfolg nachhaltig sichern. \| [[https://onetutor.ai\|OneTutor GmbH]] \| contact@onetutor.ai \| https://app.onetutor.ai/privacy \| sub, schac_home_organization, organization_name, eduperson_affiliation \|
	\| [[https://studentive.de\|studentive]] \| studentive ist eine innovative Matching-Plattform, mit der Du ganz einfach passende Praktika, Nebenjobs, Abschlussarbeiten und Berufseinstiege in Deiner Region findest. Dank smarter KI bekommst Du Vorschläge, die genau zu Deinen Interessen und Deinem Studienschwerpunkt passen. \| [[https://pancodium.de/\|Pancodium GmbH]] \| info@pancodium.de \| https://studentive.de/datenschutz/ \| sub, family_name, given_name, email, eduperson_affiliation \|		\| [[https://studentive.de\|studentive]] \| studentive ist eine innovative Matching-Plattform, mit der Du ganz einfach passende Praktika, Nebenjobs, Abschlussarbeiten und Berufseinstiege in Deiner Region findest. Dank smarter KI bekommst Du Vorschläge, die genau zu Deinen Interessen und Deinem Studienschwerpunkt passen. \| [[https://pancodium.de/\|Pancodium GmbH]] \| info@pancodium.de \| https://studentive.de/datenschutz/ \| sub, family_name, given_name, email, eduperson_affiliation \|
-	\| [[https://facultiesfootballleague.de/\|SeasonOS]] \| SeasonOS ist die digitale Plattform der FFL zur Organisation und Verwaltung von Hochschulfußballligen. \| [[https://facultiesfootballleague.de\|Faculties Football League e.V.]] \| infrastructure@facultiesfootballleague.de \| https://facultiesfootballleague.de/privacy\| sub, family_name, given_name, name, email, schac_home_organization, organization_name \|	+	\| [[https://facultiesfootballleague.de/\|SeasonOS]] \| SeasonOS ist die digitale Plattform der FFL zur Organisation und Verwaltung von Hochschulfußballligen. \| [[https://facultiesfootballleague.de\|Faculties Football League e.V.]] \| infrastructure@facultiesfootballleague.de \| https://facultiesfootballleague.de/privacy \| sub, family_name, given_name, name, email, schac_home_organization, organization_name \|
		+	\| [[https://forum.lifbi.de/\|Forum4MICA]] \| Forum4MICA ist eine Informations- und Diskussionsplattform rund um die Datenbestände der vom RatSWD akkredierten Forschungsdatenzentren und darüber hinaus. \| [[https://www.lifbi.de/de-de/\|Leibniz Institut für Bildungsverläufe]] \| fdz@lifbi.de \| https://forum.lifbi.de/privacy \| sub, family_name, given_name, name, email, schac_home_organization \|
	</datatables>		</datatables>

plugin-fudisalma

Anonymous (anonymous@undisclosed.example.com) — 2024-05-14T12:29:44+00:00

2022/12/01 11:58		aktuell
Zeile 2:		Zeile 2:

	<alert type="warning">		<alert type="warning">
-	Diese Seite befindet sich noch im Aufbau!	+	Aufgrund mangelnden Interesses wurde das Plugin wieder eingestellt.
-		+
-	<del>Die Veröffentlichung des IdP-Authn-Plugin fudisalma ist zum 15.10.2022 geplant.</del>	+
-		+
-	Die Veröffentlichung des IdP-Authn-Plugin fudisalma ist zum 01.04.2023 geplant.	+
	</alert>		</alert>
-
-	===== Allgemein =====
-	Das Plugin kann als Faktor für die Authentifizierung gegen die [[https://developers.exlibrisgroup.com/alma/apis/\|Alma Rest-AP]] verwendet werden.
-
-	===== Vorab-Installation =====
-	<alert type="warning">
-	Es handelt sich zunächst um eine Vorab-Installationsmöglichkeit zu Testzwecken.
-	</alert>
-
-	Das Plugin kann ab der Shibboleth IdP Version 4.1.2 eingesetzt werden.
-
-	Die Vorab-Installation sowie Updates erfolgen über den Shibboleth Plugin-Mechanismus (siehe offizielle Dokumentation [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1294074003/PluginInstallation\|PluginInstallation]])
-
-	Achtung: Der Shibboleth Identity Provider führt nach einer Plugin-Installation automatisch einen Neustart durch.
-
-	Mit dem folgenden Aufruf wird das Plugin installiert und aktiviert:
-	<code>
-	%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/authn/fudisalma/current/fudis-shibboleth-idp-plugin-authn-fudisalma-current.tar.gz
-	</code>
-
-	<alert type="warning">
-	Zur geplanten Veröffentlichung am 15.10.2022 ist ein "force update" erforderlich
-	<code>
-	%{idp.home}/bin/plugin.sh -u de.zedat.fudis.shibboleth.idp.plugin.authn.fudisalma -fu 1.0.0
-	</code>
-	</alert>
-
-	Zukünftige Updates werden automatisch mit dem folgendem Kommando installiert:
-	<code>
-	%{idp.home}/bin/plugin.sh -u de.zedat.fudis.shibboleth.idp.plugin.authn.fudisalma
-	</code>
-
-	Für ein vollautomatische Installation können die PGP-Keys vorab heruntergeladen und bei der Installation mit angeben werden:
-	<code>
-	wget -O %{idp.home}/PGP_KEYS_FUDIS https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/PGP_KEYS
-	%{idp.home}/bin/plugin.sh -i https://identity.fu-berlin.de/downloads/shibboleth/idp/plugins/authn/fudisalma/current/fudis-shibboleth-idp-plugin-authn-fudisalma-current.tar.gz --truststore %{idp.home}/PGP_KEYS_FUDIS
-	</code>
-
-	===== Weitere Materialien =====

	===== Kontakt =====		===== Kontakt =====
	Fehler, Fragen, Anregungen etc. bitte per E-Mail an [[fudis@zedat.fu-berlin.de\|fudis@zedat.fu-berlin.de]] senden.		Fehler, Fragen, Anregungen etc. bitte per E-Mail an [[fudis@zedat.fu-berlin.de\|fudis@zedat.fu-berlin.de]] senden.

plugin-fudiscr

Anonymous (anonymous@undisclosed.example.com) — 2026-03-04T12:41:15+00:00

2026/03/04 13:35		aktuell
Zeile 963:		Zeile 963:
	</appender>		</appender>
	</file>		</file>
-	\\
-
-	===== Erweiterung für Fortinet (FortiAuthenticator) ====
-	Die Erweiterung für Fortinet unterstützt aktuell die Token-Typen //FortiToken (Mobile und Hardware)//, //SMS// und //E-Mail//. //FIDO2 (WebAuthn)// wird aktuell von der FortiAuthenticator API nicht unterstützt.
-
-	Die Erweiterung steht unter der Apache 2.0 Lizenz und wird von der DAASI International GmbH [[https://gitlab.daasi.de/shibboleth-identity-provider/shibboleth-idp-plugin-authn-fudiscr-fortinetclient\|hier]] bereitgestellt. DAASI bietet für die Erweiterung auch Softwarepflegeverträge an. Anfragen sind bitte an [[info@daasi.de\|info@daasi.de]] zu senden.
	\\		\\

Zeile 1058:		Zeile 1052:

	Für das Anzeigen der Erzwungenseite gelten zunächst die gleichen Regeln wie bei der Erinnerungsseite. Zusätzlich wird aber geprüft, ob in dem ungefiltertem Attribut ''eduPersonEntitlement'' der Wert ''uri:enforce:mfa'' gesetzt ist. Über ein Attribut kann also z.B. gesteuert werden, wer sich in jedem Fall einen zweiten Faktor einrichten muss. So können Nutzer*innen-Gruppen nach und nach auf die Multifaktor-Authentifizierung umgestellt werden.		Für das Anzeigen der Erzwungenseite gelten zunächst die gleichen Regeln wie bei der Erinnerungsseite. Zusätzlich wird aber geprüft, ob in dem ungefiltertem Attribut ''eduPersonEntitlement'' der Wert ''uri:enforce:mfa'' gesetzt ist. Über ein Attribut kann also z.B. gesteuert werden, wer sich in jedem Fall einen zweiten Faktor einrichten muss. So können Nutzer*innen-Gruppen nach und nach auf die Multifaktor-Authentifizierung umgestellt werden.
		+	\\
		+
		+
		+	===== Erweiterung für Fortinet (FortiAuthenticator) ====
		+	Die Erweiterung für Fortinet unterstützt aktuell die Token-Typen //FortiToken (Mobile und Hardware)//, //SMS// und //E-Mail//. //FIDO2 (WebAuthn)// wird aktuell von der FortiAuthenticator API nicht unterstützt.
		+
		+	Die Erweiterung steht unter der Apache 2.0 Lizenz und wird von der DAASI International GmbH [[https://gitlab.daasi.de/shibboleth-identity-provider/shibboleth-idp-plugin-authn-fudiscr-fortinetclient\|hier]] bereitgestellt. DAASI bietet für die Erweiterung auch Softwarepflegeverträge an. Anfragen sind bitte an [[info@daasi.de\|info@daasi.de]] zu senden.
		+	\\

plugin-install

Anonymous (anonymous@undisclosed.example.com) — 2024-11-15T08:58:39+00:00

2026/05/01 06:52	aktuell
Zeile 1:	Zeile 1:
	+	===== Nashorn-Plugin =====
	+
	+	Eine Voraussetzung für den Betrieb des IdP 5.x ist JDK 17. Ab dem Java Development Kit 15 wird die Javascript Scripting Engine Nashorn nicht mehr mit ausliefert. Der IdP benötigt sie jedoch, um ggf. die Javascript-Anteile bei der Definition von Scripted Attributes in ''conf/attribute-resolver.xml'' auszuführen. Sie können die Funktionalität über das Nashorn-Plugin ergänzen. Es muss lediglich installiert, aber nicht konfiguriert werden:
	+	<code bash>root@idp:~# /opt/shibboleth-idp/bin/plugin.sh -I net.shibboleth.idp.plugin.nashorn</code>
	+
	+	===== JDBC-Plugin =====
	+	Die Datenbank-Verbindung wird im IdP 5.x nicht mehr über den JPA Storage Service hergestellt, sondern über den JDBC Storage Service.
	+
	+	Installation des JDBC-Plugins:
	+	<code bash>root@idp:~# /opt/shibboleth-idp/bin/plugin.sh -I net.shibboleth.plugin.storage.jdbc</code>

prepare-http

Anonymous (anonymous@undisclosed.example.com) — 2024-11-12T13:25:00+00:00

2024/10/22 14:54		aktuell
Zeile 24:		Zeile 24:
	</code>		</code>

-	Abschließend muss der Web Server neu gestartet werden	+	Außerdem braucht der Web Server Zugriff auf die Zertifikatsschlüssel:
		+	<code bash>
		+	root@idp:~# usermod -aG ssl-cert www-data
		+	</code>
		+
		+	Abschließend muss der Web Server neu gestartet werden:
	<code bash>		<code bash>
	root@idp:~# systemctl restart apache2		root@idp:~# systemctl restart apache2

prepare-java

Anonymous (anonymous@undisclosed.example.com) — 2024-06-10T09:23:31+00:00

2024/06/10 11:21		aktuell
Zeile 10:		Zeile 10:
	Das mit Debian 12/Bookworm mitgelieferte OpenJDK 17 gilt als teils unterstützt. Wir haben auf den von uns betriebenen IdPs damit gute Erfahrungen gemacht und können es uneingeschränkt empfehlen.		Das mit Debian 12/Bookworm mitgelieferte OpenJDK 17 gilt als teils unterstützt. Wir haben auf den von uns betriebenen IdPs damit gute Erfahrungen gemacht und können es uneingeschränkt empfehlen.

-	===== Debian 10/11 und Ubuntu 18.04/20.04 =====	+	===== Debian 12 =====

	<code bash>		<code bash>
-	root@idp:~# apt install openjdk-11-jdk	+	root@idp:~# apt install openjdk-17-jdk
	</code>		</code>

Zeile 20:		Zeile 20:
	root@idp:~# update-alternatives --config java		root@idp:~# update-alternatives --config java
	</code>		</code>
-	Wählen Sie OpenJDK-11 aus oder deinstallieren Sie die anderen Java-Versionen.	+	Wählen Sie OpenJDK-17 aus oder deinstallieren Sie die anderen Java-Versionen.

-	<callout color="#ff9900" title="Java 17?">
-	Stand Anfang Oktober 2021 ist, dass [[https://shibboleth.atlassian.net/wiki/spaces/DEV/blog/2021/09/07/2787803158/September+2021+Update\|Java 17 demnächst unterstützt werden soll]], dass es möglich sein wird, den IdP 4.x damit zu betreiben. Dazu werden jedoch mindestens an Javascript-Teilen in der IdP-Konfiguration Änderungen nötig sein.
-	</callout>

-	{{tag>idp4 tutorial included-in-ansible}}	+
		+	{{tag>idp5 tutorial }}

prepare-ntp

Anonymous (anonymous@undisclosed.example.com) — 2025-05-16T11:32:45+00:00

2022/07/06 15:24		aktuell
Zeile 29:		Zeile 29:
	</callout>		</callout>

-	{{tag>idp4 tutorial included-in-ansible}}	+	{{tag>tutorial}}

prepare-tomcat

Anonymous (anonymous@undisclosed.example.com) — 2024-12-17T06:49:50+00:00

2024/11/15 08:26		aktuell
Zeile 95:		Zeile 95:


-	Sie haben jetzt eine Tomcat-Konfiguration, die nicht startet, solange nichts unter /opt/shibboleth liegt!	+	Sie haben jetzt eine Tomcat-Konfiguration, die nicht startet, solange nichts unter /opt/shibboleth-idp liegt!

	Weiter geht es mit den [[de:shibidp:prepare-zert\|Zertifikaten]].		Weiter geht es mit den [[de:shibidp:prepare-zert\|Zertifikaten]].

	{{tag>idp5 tutorial }}		{{tag>idp5 tutorial }}

prepare-zert

Anonymous (anonymous@undisclosed.example.com) — 2026-02-18T10:22:21+00:00

2025/01/13 16:06		aktuell
Zeile 29:		Zeile 29:
	* für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der [[https://www.pki.dfn.de/dfn-verein-community-pki\|DFN-Verein Community PKI]] oder von einer [[de:certificates#eigene_lokale_ca\|lokalen CA]] ausgestellte Zertifikate verwendet werden. Auch [[de:certificates#selbst-signierte_zertifikate\|selbst-signierte]] Zertifikate können verwendet werden.		* für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der [[https://www.pki.dfn.de/dfn-verein-community-pki\|DFN-Verein Community PKI]] oder von einer [[de:certificates#eigene_lokale_ca\|lokalen CA]] ausgestellte Zertifikate verwendet werden. Auch [[de:certificates#selbst-signierte_zertifikate\|selbst-signierte]] Zertifikate können verwendet werden.

-	Webserver-Zertifikate von [[de:dfnpki:harica2025#serverzertifikate\|HARICA]] können grundsätzlich für beide o.g. Zwecke genutzt werden. Angesichts der Laufzeitverkürzungen für Webserver-Zertifikate empfehlen wir für die SAML-basierte Kommunikation Zertifikate mit längeren Laufzeiten zu verwenden.	+	Webserver-Zertifikate von [[de:dfnpki:harica2025#serverzertifikate\|HARICA]] oder anderen Browser-verankerten CAs sind für die SAML-basierte Kommunikation nicht geeignet.

	<callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-Verein Community PKI"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann.</callout>		<callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-Verein Community PKI"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann.</callout>

-	Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. des [[de:dfnpki:tcsfaq#zertifikate_erstellen\|GÉANT TCS]] holen.	+	Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. von [[de:dfnpki:harica2025#serverzertifikate\|GÉANT TCS bzw. HARICA]] holen.

	Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.		Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.

prepare

Anonymous (anonymous@undisclosed.example.com) — 2025-04-28T15:43:31+00:00

2020/10/15 10:08		aktuell
Zeile 18:		Zeile 18:
	[[de:shibidp:prepare-http\|Webserver]]		[[de:shibidp:prepare-http\|Webserver]]

-	{{tag>idp4 tutorial}}	+	{{tag>tutorial}}

start

Anonymous (anonymous@undisclosed.example.com) — 2024-12-09T08:29:10+00:00

2024/06/10 11:19		aktuell
Zeile 30:		Zeile 30:
	* Dokumentation im [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500577/Installation\|Shibboleth Wiki]], weitgehend plattformunabhängig		* Dokumentation im [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500577/Installation\|Shibboleth Wiki]], weitgehend plattformunabhängig

-	{{tag>idp4 tutorial}}	+	{{tag>tutorial}}

statusurl

Anonymous (anonymous@undisclosed.example.com) — 2024-12-05T14:15:19+00:00

2021/04/26 15:28		aktuell
Zeile 4:		Zeile 4:
	Zur Konfiguration siehe [[de:shibidp:install#idp_status_url_freigeben\|Status-URL freigeben]].		Zur Konfiguration siehe [[de:shibidp:install#idp_status_url_freigeben\|Status-URL freigeben]].

-	{{tag>idp4 monitoring}}	+	{{tag>monitoring}}

tipps-tricks

Anonymous (anonymous@undisclosed.example.com) — 2024-06-27T08:48:49+00:00

2026/05/01 06:52	aktuell
Zeile 1:	Zeile 1:
	+	====== Tipps und Tricks ======

	+	===== Neuladen des Shibboleth-IdP =====
	+
	+	Es gibt verschiedene Wege, eine Shibboleth-Instanz neu zu laden: Sie können Tomcat das Servlet neu laden lassen. Für Tests ist das ein guter, schneller Weg, im Produktivbetrieb würde es jedoch eine kurze Störung des Betriebs geben.
	+	<code bash>
	+	touch /opt/shibboleth-idp/war/idp.war
	+	</code>
	+
	+	Sie können das war-file neu bauen lassen. Dies ist nötig, wenn Sie im Ordner edit-webapp Veränderungen vorgenommen haben.
	+	<code bash>
	+	/opt/shibboleth-idp/bin/build.sh
	+	</code>
	+
	+	Sie können die Intervalle für automatisches Neuladen der Konfiguration anpassen. Standardwerte:
	+	* conf/logback.xml: 5min.
	+	* conf/attribute-resolver.xml, conf/attribute-filter.xml uvm.: 15 min.
	+
	+	<code bash>
	+	# Datei: /opt/shibboleth-idp/conf/services.properties
	+	# Beispiele:
	+	idp.service.logging.checkInterval = PT5M
	+	idp.service.relyingparty.checkInterval = PT15M
	+	idp.service.attribute.resolver.checkInterval = PT15M
	+	idp.service.attribute.filter.checkInterval = PT15M
	+	</code>
	+
	+	Sie können so genannte Reload-URLs benutzen, um das Neuladen der Konfiguration über eine URL zu triggern.
	+	<code bash>
	+	# Beispiele:
	+	# attribute-resolver.xml neu laden
	+	curl https://idp.local/idp/profile/admin/reload-service?id=shibboleth.AttributeResolverService
	+	# attribute-filter.xml neu laden
	+	curl https://idp.local/idp/profile/admin/reload-service?id=shibboleth.AttributeFilterService
	+	</code>
	+
	+	Weitere Infos finden Sie im [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199511365/WebInterfaces\|Shibboleth-Wiki]]

troubleshooting

Anonymous (anonymous@undisclosed.example.com) — 2025-12-05T08:05:45+00:00

2025/10/30 09:43		aktuell
Zeile 28:		Zeile 28:
	===== Der IdP schreibt keine Logs =====		===== Der IdP schreibt keine Logs =====

-	Wenn Ihr IdP gar keine Logfiles nach ''/opt/shibboleth-idp/logs/'' (oder in ein von Ihnen eingestelltes abweichendes Verzeichnis) schreibt, dann schauen Sie bitte die Logdateien des Tomcat an. Auf Debian-Systemen finden Sie in ''/var/log/tomcat9'' verschiedene Dateien. Beobachten Sie //alle//, etwa mit <code bash>root@idp:~# tail -f /var/log/tomcat9/*.log</code> und starten Sie in einem anderen Terminalfenster den Tomcat neu.	+	Wenn Ihr IdP gar keine Logfiles nach ''/opt/shibboleth-idp/logs/'' (oder in ein von Ihnen eingestelltes abweichendes Verzeichnis) schreibt, dann schauen Sie bitte die Logdateien des Tomcat an. Auf Debian-Systemen finden Sie in ''/var/log/tomcat10'' verschiedene Dateien. Beobachten Sie //alle//, etwa mit <code bash>root@idp:~# tail -f /var/log/tomcat10/*.log</code> und starten Sie in einem anderen Terminalfenster den Tomcat neu.

	===== Welche Attribute und Attribut-Werte werden an einen SP übertragen? =====		===== Welche Attribute und Attribut-Werte werden an einen SP übertragen? =====

troubleshooting_idp_5

Anonymous (anonymous@undisclosed.example.com) — 2024-11-27T09:00:54+00:00

2024/11/27 09:58		aktuell
Zeile 215:		Zeile 215:
	Die ''attribute-resolver.xml'' aus einer IdP 3.x-Installation kann nicht einfach in eine Neuinstallation von IdP 4.x hineinkopiert werden! Die Elemente "DisplayName", "DisplayDescription" und "AttributeEncoder", die in der Resolver-Syntax des 3er-IdP enthalten waren, sind jetzt in der Attribute Registry unterhalb von ''./conf/attributes'' definiert. Diese Zeilen müssen aus ''attribute-resolver.xml'' entfernt werden, damit die Datei in einem neu installierten 4er-IdP verwendet werden kann.		Die ''attribute-resolver.xml'' aus einer IdP 3.x-Installation kann nicht einfach in eine Neuinstallation von IdP 4.x hineinkopiert werden! Die Elemente "DisplayName", "DisplayDescription" und "AttributeEncoder", die in der Resolver-Syntax des 3er-IdP enthalten waren, sind jetzt in der Attribute Registry unterhalb von ''./conf/attributes'' definiert. Diese Zeilen müssen aus ''attribute-resolver.xml'' entfernt werden, damit die Datei in einem neu installierten 4er-IdP verwendet werden kann.

-	Ab Shibboleth IdP 4.0.0 werden die Encoder in der Attribute Registry konfiguriert. Die alte Konfigurationsweise über ''./conf/attribute-resolver.xml'' ist weiterhin lauffähig!	+	Ab Shibboleth IdP 4.0.0 werden die Encoder in der Attribute Registry konfiguriert. Bis Shibboleth IdP 3.4.6 standen die Encoder mit in der Attributdefinition in ''./conf/attribute-resolver.xml'' drin. Die alte Konfigurationsweise über ''./conf/attribute-resolver.xml'' ist weiterhin lauffähig! Bei einer Neuinstallation sollten Sie jedoch den Weg der Attribute Registry gehen. Sie macht die Attributdefinition übersichtlicher.

uebersicht

Anonymous (anonymous@undisclosed.example.com) — 2025-07-09T09:47:35+00:00

2025/04/28 17:43		aktuell
Zeile 4:		Zeile 4:
	<callout color="#ff9900" title="Upgrade oder Neuinstallation?">		<callout color="#ff9900" title="Upgrade oder Neuinstallation?">
	Zum Upgrade von IdP 4.x auf IdP 5.x siehe die [[de:shibidp:upgrade5\|Upgrade Dokumentation]].		Zum Upgrade von IdP 4.x auf IdP 5.x siehe die [[de:shibidp:upgrade5\|Upgrade Dokumentation]].
		+	</callout>
		+
		+	<callout color="#ff9900" title="Upgrade innerhalb der Produktlinie IdP 5.x">
		+	Zum Upgrade innerhalb der Produktlinie IdP 5.x siehe Dokumentation zum [[de:shibidp:update5\|Upgrade von IdP 5.x]].
	</callout>		</callout>

update5

Anonymous (anonymous@undisclosed.example.com) — 2025-07-09T11:53:16+00:00

2025/07/09 13:48		aktuell
Zeile 150:		Zeile 150:

	Logfile auf Fehler- oder Warnmeldungen prüfen. Login an mind. einem SP testen und IdP-Logfile prüfen.		Logfile auf Fehler- oder Warnmeldungen prüfen. Login an mind. einem SP testen und IdP-Logfile prüfen.
		+
		+	=== Deprecation Warnings ===
		+
		+	Deprecation Warnings sind in der Datei ///opt/shibboleth-idp/logs/idp-process.log// zu finden und sollten entsprechend des Inhalts gelöst werden.
		+
		+	=== neue Dateien in den Shibboleth-Verzeichnissen ===
		+
		+	bei Upgrades werden neue Versionen der modifizierten Dateien erstellt:
		+	* Filename.idpnew-idpversion: Default-Configs von geänderten Dateien
		+	* Filename.idpsave: Konfigs, die bei Deinstallation gesichert wurden
		+
		+	Beispiel conf-Verzeichnis:
		+	<code>
		+	ls -rlt conf/
		+	insgesamt 188
		+	-rw-r--r-- 1 tomcat tomcat 4172 2. Jan 2025 ldap.properties
		+	-rw-r--r-- 1 tomcat tomcat 2950 2. Jan 2025 access-control.xml
		+	-rw-r--r-- 1 tomcat tomcat 1576 2. Jan 2025 saml-nameid.properties
		+	-rw-r--r-- 1 tomcat tomcat 2847 2. Jan 2025 saml-nameid.xml
		+	-rw-r--r-- 1 tomcat tomcat 3110 2. Jan 2025 global.xml
		+	-rw-r--r-- 1 tomcat tomcat 11506 2. Jan 2025 idp.properties
		+	-rw-r--r-- 1 tomcat tomcat 4561 2. Jan 2025 metadata-providers.xml
		+	-rw-r--r-- 1 tomcat tomcat 3485 3. Jan 14:44 relying-party.xml
		+	-rw-r--r-- 1 tomcat tomcat 6135 15. Jan 17:10 attribute-resolver.xml
		+	-rw-r--r-- 1 tomcat tomcat 6077 15. Jan 17:18 attribute-filter.xml
		+	drwxr-xr-x 2 tomcat tomcat 4096 4. Jul 13:30 examples
		+	drwxr-xr-x 2 tomcat tomcat 4096 4. Jul 13:30 admin
		+	drwxr-xr-x 3 tomcat tomcat 4096 4. Jul 13:30 attributes
		+	drwxr-xr-x 2 tomcat tomcat 4096 4. Jul 13:30 c14n
		+	-rw-r--r-- 1 root root 3412 4. Jul 13:30 audit.xml
		+	-rw-r--r-- 1 root root 3109 4. Jul 13:30 attribute-resolver.xml.idpnew-514
		+	-rw-r--r-- 1 root root 1496 4. Jul 13:30 attribute-registry.xml
		+	-rw-r--r-- 1 root root 4822 4. Jul 13:30 attribute-filter.xml.idpnew-514
		+	-rw-r--r-- 1 root root 2951 4. Jul 13:30 access-control.xml.idpnew-514
		+	-rw-r--r-- 1 root root 4424 4. Jul 13:30 metadata-providers.xml.idpnew-514
		+	-rw-r--r-- 1 root root 9680 4. Jul 13:30 logback.xml
		+	-rw-r--r-- 1 root root 4184 4. Jul 13:30 ldap.properties.idpnew-514
		+	-rw-r--r-- 1 root root 11142 4. Jul 13:30 idp.properties.idpnew-514
		+	-rw-r--r-- 1 root root 2408 4. Jul 13:30 global.xml.idpnew-514
		+	-rw-r--r-- 1 root root 7085 4. Jul 13:30 errors.xml
		+	-rw-r--r-- 1 root root 3410 4. Jul 13:30 credentials.xml
		+	-rw-r--r-- 1 root root 2720 4. Jul 13:30 services.xml
		+	-rw-r--r-- 1 root root 3206 4. Jul 13:30 services.properties
		+	-rw-r--r-- 1 root root 2872 4. Jul 13:30 saml-nameid.xml.idpnew-514
		+	-rw-r--r-- 1 root root 1599 4. Jul 13:30 saml-nameid.properties.idpnew-514
		+	-rw-r--r-- 1 root root 3403 4. Jul 13:30 relying-party.xml.idpnew-514
		+	drwxr-xr-x 2 tomcat tomcat 4096 4. Jul 13:30 authn
		+	drwxr-xr-x 2 tomcat tomcat 4096 4. Jul 13:30 intercept
		+	</code>

upgrade

Anonymous (anonymous@undisclosed.example.com) — 2023-08-01T12:19:51+00:00

2023/06/13 16:01		aktuell
Zeile 118:		Zeile 118:
	==== Automatische Suche nach ''.properties''-Dateien ====		==== Automatische Suche nach ''.properties''-Dateien ====
	* In ''conf/idp.properties'' können bzw. sollten Sie ab Version 4.1.x die folgende Zeile einfügen, damit der IdP alle Properties-Dateien unterhalb des ''conf''-Ordners einliest, ohne, dass Sie sie einzeln angeben müssen:<code properties>idp.searchForProperties=true</code>		* In ''conf/idp.properties'' können bzw. sollten Sie ab Version 4.1.x die folgende Zeile einfügen, damit der IdP alle Properties-Dateien unterhalb des ''conf''-Ordners einliest, ohne, dass Sie sie einzeln angeben müssen:<code properties>idp.searchForProperties=true</code>
		+
		+	==== Prüfen der dfnMisc.xml ab 4.2.0 ====
		+	Vor der Version 4.2.0 liefert der IdP die Transcoding-Regeln und die Bezeichnungen / Beschreibungen der Attribute aus dem schac-Schema nicht mit. Wir hatten zu der Zeit eine Datei ''dfnMisc.xml'' erstellt, die die gängigsten schac-Attribute und einige andere in der DFN-AAI verbreitete Attribute für die Attribute Registry des IdP zusammenstellten. Ab der Version 4.2.0 kam der IdP mit einer eigenen ''schac.xml''-Datei im Ordner ''conf/attributes/''. Prüfen Sie beim Upgrade Ihre ''dfnMisc.xml''. Dopplungen zwischen ihr und der ''schac.xml'' führen zu doppelten Attributen, was zu vermeiden ist. Ersetzen Sie bei Bedarf die ''dfnMisc.xml'' mit der [[de:shibidp:dfn_misc_transcoder\|aktuelleren Version]].
		+
	====== Upgrades innerhalb der Produktlinie IdP 4.x ======		====== Upgrades innerhalb der Produktlinie IdP 4.x ======
	Laut [[https://wiki.shibboleth.net/confluence/display/IDP4/Upgrading\|Shibboleth-Wiki]] werden die Minor- oder Patch-Updates jeweils über die laufende IdP-Version drüber installiert:		Laut [[https://wiki.shibboleth.net/confluence/display/IDP4/Upgrading\|Shibboleth-Wiki]] werden die Minor- oder Patch-Updates jeweils über die laufende IdP-Version drüber installiert:

upgrade5

Anonymous (anonymous@undisclosed.example.com) — 2024-08-28T12:47:10+00:00

2024/06/24 09:24		aktuell
Zeile 14:		Zeile 14:

	<callout color="#ff9900" title="Empfehlung: Neuinstallation bei Installationen vor Version 4.1.x">		<callout color="#ff9900" title="Empfehlung: Neuinstallation bei Installationen vor Version 4.1.x">
-	Ab 4.1.x enthält der IdP einige grundsätzliche Änderungen und viele Vereinfachungen. Das Aufräumen einer aktualisierten Installation ist sehr kleinteilig, fehleranfällig und aufwändig. Wir empfehlen daher Installationen, die vor der Version 4.1.x aufgesetzt wurden, mit Version 5.x neu aufzusetzen	+	Ab 4.1.x enthält der IdP einige grundsätzliche Änderungen und viele Vereinfachungen. Das Aufräumen einer aktualisierten Installation ist sehr kleinteilig, fehleranfällig und aufwändig. Wir empfehlen daher Installationen, die vor der Version 4.1.x aufgesetzt wurden, [[de:shibidp:uebersicht\|mit Version 5.x neu aufzusetzen]]
	</callout>		</callout>

upgrade_idp_4.x_auf_4.3.3

Anonymous (anonymous@undisclosed.example.com) — 2024-11-14T13:32:21+00:00

2024/09/19 10:13		aktuell
Zeile 1:		Zeile 1:
	====== IdP-Upgrade auf IdP 4.3.3 ======		====== IdP-Upgrade auf IdP 4.3.3 ======

		+	<callout color="#ff9900" title="Empfehlung: IdP-Neuinstallation bei Versionen vor 4.1.x">
		+	Ab 4.1.x enthält der IdP einige grundsätzliche Änderungen und viele Vereinfachungen. Das Aufräumen einer aktualisierten Installation ist sehr kleinteilig, fehleranfällig und aufwändig. Wir empfehlen daher Installationen, die vor der Version 4.1.x aufgesetzt wurden, [[de:shibidp:uebersicht\|mit Version 5.x neu aufzusetzen]]
		+	</callout>

	Ein Upgrade auf V5 ist nur von V4.3.3 möglich. So können Sie die IdP-Version prüfen:		Ein Upgrade auf V5 ist nur von V4.3.3 möglich. So können Sie die IdP-Version prüfen:

upgrade_openjdk_11_auf_openjdk_17

Anonymous (anonymous@undisclosed.example.com) — 2024-09-19T07:58:08+00:00

2024/08/29 13:33		aktuell
Zeile 5:		Zeile 5:

	Aktive Java-Version prüfen		Aktive Java-Version prüfen
-	<code>	+	<code bash>
-	java -version	+	root@idp:~# java -version
	</code>		</code>

	Installierte Java-Versionen anzeigen lassen:		Installierte Java-Versionen anzeigen lassen:
-	<code>	+	<code bash>
-	sudo update-alternatives --list java	+	root@idp:~# update-alternatives --list java

	/usr/lib/jvm/java-11-openjdk-amd64/bin/java # Wird hier nur OpenJDK 11 angezeigt, müssen Sie OpenJDK 17 installieren.		/usr/lib/jvm/java-11-openjdk-amd64/bin/java # Wird hier nur OpenJDK 11 angezeigt, müssen Sie OpenJDK 17 installieren.
Zeile 19:		Zeile 19:
	installierte IdP-Version prüfen:		installierte IdP-Version prüfen:

-	<code>	+	<code bash >
-	/opt/shibboleth-idp/bin/version.sh	+	root@idp:~# /opt/shibboleth-idp/bin/version.sh
	</code>		</code>

Zeile 26:		Zeile 26:

	Installation mittels:		Installation mittels:
-	<code>	+	<code bash>
-	sudo apt install openjdk-17-jre-headless	+	root@idp:~# apt install openjdk-17-jre-headless
	</code>		</code>

Zeile 33:		Zeile 33:

	Wenn Sie verschiedene Versionen eines Programms, z.B. Java, installiert haben, verwenden Sie //update-alternatives// um die bevorzugte Version festzulegen.		Wenn Sie verschiedene Versionen eines Programms, z.B. Java, installiert haben, verwenden Sie //update-alternatives// um die bevorzugte Version festzulegen.
-	<code>	+	<code bash>
-	sudo update-alternatives --config java	+	root@idp:~# update-alternatives --config java
	</code>		</code>
	Die aktuell aktive Version ist markiert. Es folgt ein Dialog zum Wechseln. Wählen Sie openjdk-17 im auto mode.		Die aktuell aktive Version ist markiert. Es folgt ein Dialog zum Wechseln. Wählen Sie openjdk-17 im auto mode.

-	<code>	+	<code bash>
	There is 1 choice for the alternative java (providing /usr/bin/java).		There is 1 choice for the alternative java (providing /usr/bin/java).

Zeile 49:		Zeile 49:

	Damit Tomcat 9 auch nach der neuen default-Version sucht:		Damit Tomcat 9 auch nach der neuen default-Version sucht:
-	<code>	+	<code bash>
-	vi /usr/libexec/tomcat9/tomcat-locate-java.sh	+	root@idp:~# vi /usr/libexec/tomcat9/tomcat-locate-java.sh
	</code>		</code>
	hier die Version 17 dazu schreiben:		hier die Version 17 dazu schreiben:
Zeile 61:		Zeile 61:

	Tomcat neu starten und in einem zweiten Fenster die Logs mitlaufen lassen:		Tomcat neu starten und in einem zweiten Fenster die Logs mitlaufen lassen:
-	<code>	+	<code bash>
-	sudo systemctl restart tomcat9.service	+	root@idp:~# systemctl restart tomcat9.service
-	sudo tail -f /var/log/tomcat9/catalina.date.log	+	root@idp:~# tail -f /var/log/tomcat9/catalina.date.log
-	sudo tail -f /opt/shibboleth-idp/logs/idp-warn.log	+	root@idp:~# tail -f /opt/shibboleth-idp/logs/idp-warn.log
-	sudo tail -f /opt/shibboleth-idp/logs/idp-process.log	+	root@idp:~# tail -f /opt/shibboleth-idp/logs/idp-process.log
	</code>		</code>

	Falls der Tomcat nicht mehr startet: [[de:shibidp:troubleshooting_idp_5#tomcat_startet_nicht_mehr\|Troubleshooting]].		Falls der Tomcat nicht mehr startet: [[de:shibidp:troubleshooting_idp_5#tomcat_startet_nicht_mehr\|Troubleshooting]].

upgrade_shibboleth_idp_auf_5.1.x

Anonymous (anonymous@undisclosed.example.com) — 2025-03-17T14:45:30+00:00

2025/03/17 15:37		aktuell
Zeile 177:		Zeile 177:

	Bearbeiten Sie ///opt/shibboleth-idp/conf/credentials.xml// und ersetzen folgenden Eintrag in der Datei.		Bearbeiten Sie ///opt/shibboleth-idp/conf/credentials.xml// und ersetzen folgenden Eintrag in der Datei.
-
-	Achtung: Evtl. muss außerdem //class// durch //parent// ersetzt werden.
-

	alt:		alt:
	<code>		<code>
-	<bean parent="net.shibboleth.idp.profile.spring.factory.BasicX509CredentialFactoryBean"	+	<bean class="net.shibboleth.idp.profile.spring.factory.BasicX509CredentialFactoryBean"
	...		...
	</code>		</code>

upgrade_tomcat_9_auf_10

Anonymous (anonymous@undisclosed.example.com) — 2024-09-19T08:06:58+00:00

2024/09/03 14:42		aktuell
Zeile 5:		Zeile 5:

	Installation		Installation
-	<code>	+	<code bash>
-	apt install tomcat10	+	root@idp:~# apt install tomcat10
	</code>		</code>

	Override-Konfiguration anlegen		Override-Konfiguration anlegen

-	<code>	+	<code bash>
-	systemctl edit tomcat10.service	+	root@idp:~# systemctl edit tomcat10.service
	</code>		</code>

	hier folgendes eintragen:		hier folgendes eintragen:

-	<code>	+	<code bash>
	[Service]		[Service]
	ReadWritePaths=/opt/shibboleth-idp/logs/		ReadWritePaths=/opt/shibboleth-idp/logs/
Zeile 28:		Zeile 28:
	Konfigurations-Dateien kopieren		Konfigurations-Dateien kopieren

-	<code>	+	<code bash>
-	cp /etc/tomcat9/Catalina/localhost/idp.xml /etc/tomcat10/Catalina/localhost/idp.xml	+	root@idp:~# cp /etc/tomcat9/Catalina/localhost/idp.xml /etc/tomcat10/Catalina/localhost/idp.xml
-	cp /etc/tomcat9/context.xml /etc/tomcat10/context.xml	+	root@idp:~# cp /etc/tomcat9/context.xml /etc/tomcat10/context.xml

-	cp /etc/tomcat9/catalina.properties /etc/tomcat10/catalina.properties	+	root@idp:~# cp /etc/tomcat9/catalina.properties /etc/tomcat10/catalina.properties
-	cp /etc/tomcat9/server.xml /etc/tomcat10/server.xml	+	root@idp:~# cp /etc/tomcat9/server.xml /etc/tomcat10/server.xml
	</code>		</code>

	Mariadb-Library verlinken:		Mariadb-Library verlinken:
-	<code>	+	<code bash>
-	ln -s /usr/share/java/mariadb-java-client.jar /var/lib/tomcat10/lib/mariadb-java-client.jar	+	root@idp:~# ln -s /usr/share/java/mariadb-java-client.jar /var/lib/tomcat10/lib/mariadb-java-client.jar
	</code>		</code>

	Sicherheitshalber die Config nach altem Tomcat9-Code durchsuchen und ggfls. anpassen:		Sicherheitshalber die Config nach altem Tomcat9-Code durchsuchen und ggfls. anpassen:
-	<code>	+	<code bash>
-	sudo grep -r tomcat9 /etc/tomcat10/	+	root@idp:~# grep -r tomcat9 /etc/tomcat10/
	</code>		</code>

wann_wurde_der_idp_neu_aufgesetzt

Anonymous (anonymous@undisclosed.example.com) — 2024-10-06T14:24:29+00:00

2024/10/06 16:16		aktuell
Zeile 11:		Zeile 11:
	</file>		</file>
	* Es existiert noch ein Ordner ''/opt/shibboleth-idp/system''.		* Es existiert noch ein Ordner ''/opt/shibboleth-idp/system''.
-	* Es sind sämtliche verfügbare Module aktiviert ("enabled"), auch solche, die Sie nicht unbedingt benötigen. <code bash>root@idp:~# ./bin/module.sh -l	+	* Es sind zahlreiche Module aktiviert ("enabled"), die Sie höchstwahrscheinlich nicht benötigen und nie explizit aktiviert haben, z.B. ''idp.authn.Duo''. <code bash>root@idp:~# ./bin/module.sh -l
	Module: idp.authn.Duo [ENABLED]		Module: idp.authn.Duo [ENABLED]
	Module: idp.authn.External [ENABLED]		Module: idp.authn.External [ENABLED]
Zeile 31:		Zeile 31:
	Module: idp.intercept.Warning [DISABLED]		Module: idp.intercept.Warning [DISABLED]
	Module: idp.profile.CAS [ENABLED]</code>		Module: idp.profile.CAS [ENABLED]</code>
-	* Im Ordner ''conf/authn'' liegen Konfigurationsdateien für Login-Flows, die Sie noch nie verwendet haben. Beispiel:<code bash>root@idp:~# ls /opt/shibboleth-idp/conf/authn/	+	* Im Ordner ''conf/authn'' liegen Konfigurationsdateien für alle verfügbaren Login-Flows, auch solche, die Sie noch nie verwendet haben. Beispiel:<code bash>root@idp:~# ls /opt/shibboleth-idp/conf/authn/
	authn-comparison.xml duo.properties.idpnew ipaddress-authn-config.xml mfa-authn-config.xml remoteuser-internal-authn-config.xml.idpnew		authn-comparison.xml duo.properties.idpnew ipaddress-authn-config.xml mfa-authn-config.xml remoteuser-internal-authn-config.xml.idpnew
	authn-events-flow.xml external-authn-config.xml ipaddress-authn-config.xml.idpnew password-authn-config.xml saml-authn-config.xml		authn-events-flow.xml external-authn-config.xml ipaddress-authn-config.xml.idpnew password-authn-config.xml saml-authn-config.xml

2025/05/02 13:31		aktuell
Zeile 111:		Zeile 111:
	* [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung\|DFNconf und DFN-Webconferencing]]		* [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung\|DFNconf und DFN-Webconferencing]]
	* [[de:shibidp:config-attributes-dfnmailsupport\|DFN-Mailsupport]]		* [[de:shibidp:config-attributes-dfnmailsupport\|DFN-Mailsupport]]
		+	* [[de:shibidp:config-attributes-dfn-portale\|DFN-Portale]]
	* [[de:shibidp:config-attributes-dfnterminplaner\|DFN-Terminplaner 6]]		* [[de:shibidp:config-attributes-dfnterminplaner\|DFN-Terminplaner 6]]
	* [[de:shibidp:config-attributes-easyroam4edu\|easyroam]]		* [[de:shibidp:config-attributes-easyroam4edu\|easyroam]]
		+	* [[de:shibidp:config-attributes-dfn-portale\|eduroam Metadaten-Portal]]
	* [[de:shibidp:config-attributes-eduvpn\|eduVPN]] (Pilotprojekt)		* [[de:shibidp:config-attributes-eduvpn\|eduVPN]] (Pilotprojekt)
	* [[de:shibidp:config-attributes-erasmus\|Erasmus-Dienste]]		* [[de:shibidp:config-attributes-erasmus\|Erasmus-Dienste]]

2024/07/07 15:51		aktuell
Zeile 3:		Zeile 3:

	Anmerkungen:		Anmerkungen:
-	* Die hier aufgelisteten Varianten beziehen sich auf die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der [[https://www2.dfn.de/veranstaltungen/bt/vortraege/69-betriebstagung-2509-bis-26092018/\|69. DFN-Betriebstagung]].	+	* Die hier aufgelisteten Varianten beziehen sich auf die Lösungsmodelle aus der Präsentation [[https://download.aai.dfn.de/praesentationen/betriebstagungen/69/BT69_AAI_DS-AAI-Verfahren_Strobel_Moerike.pdf\|"Datenschutzrechtliche Analyse das AAI-Verfahrens"]] von der 69. DFN-Betriebstagung.
	* Sollen zusätzlich zu Variante 1 weitere Lösungsmodelle implementiert werden, müssen spezifische Interceptor Flows definiert werden. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].		* Sollen zusätzlich zu Variante 1 weitere Lösungsmodelle implementiert werden, müssen spezifische Interceptor Flows definiert werden. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].
	* Die u.g. Beispiele erfordern entsprechend angepasste Message Properties. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].		* Die u.g. Beispiele erfordern entsprechend angepasste Message Properties. Siehe hierzu auf der [[de:shibidp:config-consent-dsgvo_shib-idp_4.0.x\|Hauptseite]].

2024/12/20 14:44		aktuell
Zeile 30:		Zeile 30:
	* Canto Tenant SPs		* Canto Tenant SPs
	* Cisco Webex Tenant SPs		* Cisco Webex Tenant SPs
-	* Citavi Web: [[https://citaviweb.citavi.com/shibboleth\|https://citaviweb.citavi.com/shibboleth]]	+	* <del>Citavi Web: [[https://citaviweb.citavi.com/shibboleth\|https://citaviweb.citavi.com/shibboleth]]</del>
	* De Gruyter: [[https://www.degruyter.com/shibboleth\|https://www.degruyter.com/shibboleth]] <del>und https://www.degruyter.com/ssp</del>		* De Gruyter: [[https://www.degruyter.com/shibboleth\|https://www.degruyter.com/shibboleth]] <del>und https://www.degruyter.com/ssp</del>
	* Dropbox: https://dropbox.com/sp		* Dropbox: https://dropbox.com/sp
Zeile 38:		Zeile 38:
	* <del>GÉANT SP Proxy: [[https://terena.org/sp\|https://terena.org/sp]]</del>		* <del>GÉANT SP Proxy: [[https://terena.org/sp\|https://terena.org/sp]]</del>
	* <del>Hanser E-Library: [[https://www.hanser-elibrary.com/shibboleth\|https://www.hanser-elibrary.com/shibboleth]]</del>		* <del>Hanser E-Library: [[https://www.hanser-elibrary.com/shibboleth\|https://www.hanser-elibrary.com/shibboleth]]</del>
-	* HARICA:	+	* <del>HARICA:
	* https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp		* https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp
	* https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp		* https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp
-	* https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp	+	* https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp</del>
	* Highwire (Proxy für verschiedene Verlage): [[https://shibboleth.highwire.org/entity/secure-sp\|https://shibboleth.highwire.org/entity/secure-sp]]		* Highwire (Proxy für verschiedene Verlage): [[https://shibboleth.highwire.org/entity/secure-sp\|https://shibboleth.highwire.org/entity/secure-sp]]
	* Hirzel: https://elibrary.hirzel.de		* Hirzel: https://elibrary.hirzel.de

2021/04/29 13:07		aktuell
Zeile 1:		Zeile 1:
-	====== Migration auf IdP 4.x ======	+	====== IdP-Migration ======

-	Um einen IdP 3.x in der DFN-AAI ohne Downtime auf 4.x zu migrieren, empfehlen wir folgende Vorgehensweise, in der beide IdP-Versionen während der Migration parallel betrieben werden:	+	Um einen IdP in der DFN-AAI ohne Downtime zu migrieren, empfehlen wir folgende Vorgehensweise, in der der alte und der neue IdP vorübergehend parallel betrieben werden - mit demselben Metadateneintrag:

	===== Schritt 1: Testsystem aufsetzen =====		===== Schritt 1: Testsystem aufsetzen =====
-	* Lassen Sie den produktiven IdP 3.x zunächst unverändert weiter laufen.	+	* Lassen Sie den produktiven IdP zunächst unverändert weiter laufen.
-	* Installieren Sie den aktuellsten IdP 4.x auf einem (neuen) Testsystem von Grund auf wie in unserem [[de:shibidp:start\|Tutorial]] beschrieben.	+	* Installieren Sie den aktuellsten IdP auf einem Testsystem von Grund auf wie in unserem [[de:shibidp:start\|Tutorial]] beschrieben.
	* Testen Sie damit ausführlich in der DFN-AAI-Test, bis Sie gut mit der Konfiguration vertraut sind:		* Testen Sie damit ausführlich in der DFN-AAI-Test, bis Sie gut mit der Konfiguration vertraut sind:
-	* Kopieren Sie keine Konfigurationsdateien unbesehen aus dem alten IdP in den neuen IdP! Es haben sich diverse Standardeinstellungen oder Einstellungsmöglichkeiten geändert.	+	* Wenn es Software-Versionunterschiede zwischen dem alten und dem neuen IdP gibt, prüfen Sie z.B. anhand der Release Notes, ob Sie Konfigurationsdateien aus dem alten IdP so übernehmen können.
-	* Übertragen Sie die definierten Attribute in die neue, abgespeckte ''conf/attribut-resolver.xml''. Die Syntax der Datei hat sich gegenüber dem IdP 3.3.x stark verändert und ist seit dem IdP 3.4.x ausgedünnt worden.	+
-	* Die Datei ''conf/attribut-filter.xml'' können Sie in den neuen IdP kopieren. Überzeugen Sie sich mithilfe unserer Test-SPs, dass die Attribute so übermittelt werden, wie es Ihr IdP 3.x tut.	+
-	* Übertragen Sie die ''conf/relying-party.xml'' und prüfen Sie, welche der von Ihnen genutzten Service Provider den Algorithmus AES-GCM noch nicht unterstützen. Konfigurieren Sie für diese SPs Ausnahmen mit AES-CBC, wie in unserer [[de:shibidp:config-encryption\|Dokumentation]] beschrieben.	+
	* Bearbeiten Sie die Attribute in der Attribut Registry: [[de:shibidp:config-attributes#optionalsaml1_abschalten\|Entfernen Sie die SAML1 Transcoder]]. SAML 1 wird in der DFN-AAI bald abgekündigt. Es gibt keine SPs mehr, die ausschließlich den veralteten SAML1-Standard sprechen. [[de:shibidp:config-attributes#vervollstaendigung_der_attribute_registry\|Ergänzen Sie die Attribute Registry]] für den Einsatz in der DFN-AAI, falls Sie das während des Tutorials nicht schon getan haben.		* Bearbeiten Sie die Attribute in der Attribut Registry: [[de:shibidp:config-attributes#optionalsaml1_abschalten\|Entfernen Sie die SAML1 Transcoder]]. SAML 1 wird in der DFN-AAI bald abgekündigt. Es gibt keine SPs mehr, die ausschließlich den veralteten SAML1-Standard sprechen. [[de:shibidp:config-attributes#vervollstaendigung_der_attribute_registry\|Ergänzen Sie die Attribute Registry]] für den Einsatz in der DFN-AAI, falls Sie das während des Tutorials nicht schon getan haben.
-	* *Die persistentIds müssen unverändert bleiben, damit Ihre Nutzerinnen bei den Service Providern wiedererkannt werden! Migrieren Sie die bestehende persistentId-Datenbank vom IdP 3.x auf die Testinstallation und verifizieren Sie, dass die alten persistentIDs weiterverwendet statt neu generiert werden**. So gehen Sie auf einem Test-IdP vor:	+	* *Die persistentIds müssen unverändert bleiben, damit Ihre Nutzerinnen bei den Service Providern wiedererkannt werden! Migrieren Sie die bestehende persistentId-Datenbank vom alten IdP auf die Testinstallation und verifizieren Sie, dass die alten persistentIDs weiterverwendet statt neu generiert werden**. So gehen Sie auf einem Test-IdP vor:
	* Achten Sie darauf, dass Quellattribut(e) (Datei ''conf/saml-nameid.properties'': ''idp.persistentId.sourceAttribute'') und Salt (Datei ''credentials/secrets.properties'': ''idp.persistentId.salt'') die gleichen sind wie auf dem alten IdP.		* Achten Sie darauf, dass Quellattribut(e) (Datei ''conf/saml-nameid.properties'': ''idp.persistentId.sourceAttribute'') und Salt (Datei ''credentials/secrets.properties'': ''idp.persistentId.salt'') die gleichen sind wie auf dem alten IdP.
	* Suchen Sie sich für eine Stichprobe einen SP aus der Datenbanktabelle ''shibpid'' aus, z.B. testsp3.aai.dfn.de.		* Suchen Sie sich für eine Stichprobe einen SP aus der Datenbanktabelle ''shibpid'' aus, z.B. testsp3.aai.dfn.de.
Zeile 19:		Zeile 16:
	* Melden Sie sich an dem SP an und prüfen, ob die bereits in der Datenbank liegende persistentID übermittelt wird (idp-audit.log enthält den Wert). Wenn das nicht der Fall ist, sondern eine neue persistentId für den UserAccount und den SP generiert wurde, dann stimmt noch etwas nicht.		* Melden Sie sich an dem SP an und prüfen, ob die bereits in der Datenbank liegende persistentID übermittelt wird (idp-audit.log enthält den Wert). Wenn das nicht der Fall ist, sondern eine neue persistentId für den UserAccount und den SP generiert wurde, dann stimmt noch etwas nicht.
	* Wir empfehlen Ihnen, diesen Test-IdP zu behalten. So haben Sie für künftige Upgrades ein funktionierendes Testsystem, das Sie bei Bedarf einfach wieder in die Testföderation aufnehmen können.		* Wir empfehlen Ihnen, diesen Test-IdP zu behalten. So haben Sie für künftige Upgrades ein funktionierendes Testsystem, das Sie bei Bedarf einfach wieder in die Testföderation aufnehmen können.
		+
	===== Schritt 2: Neues Produktivsystem vorbereiten =====		===== Schritt 2: Neues Produktivsystem vorbereiten =====
-	* Installieren Sie den IdP 4.x so auf einem neuen Produktivsystem, dass die Metadaten identisch zu Ihrem IdP 3.x sind, indem Sie bei der Installation den gleichen DNS-Namen wählen wie auf Ihrem bestehenden 3.x-System!	+	* Installieren Sie den künftigen produktiven IdP so, dass die Metadaten identisch zu Ihrem alten IdP sind, indem Sie bei der Installation den gleichen DNS-Namen wählen wie auf Ihrem alten IdP!
-	* Die entityID des IdP 4.x entspricht damit der des IdP 3.x.	+	* Die entityID des neuen IdP entspricht damit der des alten IdP.
	* Die Kommunikations-URLs in den Metadaten bleiben unverändert.		* Die Kommunikations-URLs in den Metadaten bleiben unverändert.
-	* Ersetzen Sie auf dem IdP 4.x die automatisch generierten private-Key- und Zertifikatsdateien für die SAML-basierte Kommunikation durch die entsprechenden Dateien vom IdP 3.x ([[de:shibidp:config-zertifikate \|Dokumentation]]).	+	* Ersetzen Sie auf dem neuen IdP die automatisch generierten private-Key- und Zertifikatsdateien für die SAML-basierte Kommunikation durch die entsprechenden Dateien vom alten IdP ([[de:shibidp:config-zertifikate \|Dokumentation]]).
-	* Die Metadaten des IdP 4.x sind jetzt identisch zum IdP 3.x. Es muss nichts in der DFN-AAI-Metadatenverwaltung eingetragen oder geändert werden. Insbesondere ist dort nach wie vor nur //ein// produktiver IdP eingetragen!	+	* Die Metadaten des neuen IdP sind jetzt identisch zu denen des alten IdP. Es muss nichts in der DFN-AAI-Metadatenverwaltung eingetragen oder geändert werden. Insbesondere ist dort nach wie vor nur //ein// produktiver IdP eingetragen!
-	* Übernehmen Sie die Attribut-, NameID-, Datenbank- und sonstige Konfigurationen von Ihrer 4.x Testinstallation auf das neue Produktiv-System.	+	* Übernehmen Sie die Attribut-, NameID-, Datenbank- und sonstige Konfigurationen von Ihrer Testinstallation auf das neue Produktiv-System.
		+
	===== Schritt 3: DNS-Eintrag schwenken =====		===== Schritt 3: DNS-Eintrag schwenken =====
-	* Ersetzen Sie in Ihrem DNS-Server die IP-Adresse(n) des alten IdP 3.x durch die des neuen IdP 4.x.	+	* Ersetzen Sie in Ihrem DNS-Server die IP-Adresse(n) des alten IdP durch die des neuen IdP.
-	* Lassen Sie den IdP 3.x noch so lange laufen, bis sich die DNS-Änderung weltweit verbreitet hat.	+	* Lassen Sie den alten IdP noch so lange laufen, bis sich die DNS-Änderung weltweit verbreitet hat.
-	* Wenn Sie sehen, dass am IdP 3.x keine Zugriffe mehr erfolgen, können Sie ihn abschalten.	+	* Wenn Sie sehen, dass am alten IdP keine Zugriffe mehr erfolgen, können Sie ihn abschalten.

-	{{tag>idp4 migration}}	+	{{tag>migration}}