Dokumentation DFN-AAI, DFN-PKI und eduroam - de:shibidp:config-advanced
https://doku.tid.dfn.de/
2026-05-31T05:56:37+00:00Dokumentation DFN-AAI, DFN-PKI und eduroam
https://doku.tid.dfn.de/
https://doku.tid.dfn.de/_media/logo.pngtext/html2024-12-10T11:32:16+00:00Anonymous (anonymous@undisclosed.example.com)config-azure
https://doku.tid.dfn.de/de:shibidp:config-advanced:config-azure?rev=1733830336&do=diff
<table><tr><th colspan="2" width="50%">2024/03/15 14:17</th><th colspan="2" width="50%">aktuell</th></tr><tr><td class="diff-blockheader" colspan="2">Zeile 8:</td>
<td class="diff-blockheader" colspan="2">Zeile 8:</td>
</tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">  - Nach dem Authentifizierungsprozess hat der Benutzer eine gültige Shibboleth-Session gegen den IDP und eine gültige OAuth2-Session gegen das Entra-ID. </td><td class="diff-lineheader"> </td><td class="diff-context">  - Nach dem Authentifizierungsprozess hat der Benutzer eine gültige Shibboleth-Session gegen den IDP und eine gültige OAuth2-Session gegen das Entra-ID. </td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">  - Man benötigt zur Implementierung einer MFA-Umgebung jetzt nur noch die Token-Konfiguration im Azure. Man spart sich also den PrivacyIdea-Server plus eine zweimalige Einrichtung der Token. </td><td class="diff-lineheader"> </td><td class="diff-context">  - Man benötigt zur Implementierung einer MFA-Umgebung jetzt nur noch die Token-Konfiguration im Azure. Man spart sich also den PrivacyIdea-Server plus eine zweimalige Einrichtung der Token. </td></tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">  - Die Attribute die dem SP übergeben werden, können sowohl aus der <strong class="diff-mark">lokaeln </strong>DB (LDAP) bezogen werden als auch aus dem Entra-ID. </td><td class="diff-lineheader">+</td><td class="diff-addedline">  - Die Attribute die dem SP übergeben werden, können sowohl aus der <strong class="diff-mark">lokalen </strong>DB (LDAP) bezogen werden<strong class="diff-mark">, </strong>als auch aus dem Entra-ID. </td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">===== Wie muss ich mir das vorstellen?  =====</td><td class="diff-lineheader"> </td><td class="diff-context">===== Wie muss ich mir das vorstellen?  =====</td></tr>
</table>text/html2024-10-09T07:18:41+00:00Anonymous (anonymous@undisclosed.example.com)config-idp-auth-for-entra
https://doku.tid.dfn.de/de:shibidp:config-advanced:config-idp-auth-for-entra?rev=1728458321&do=diff
<table><tr><th colspan="2" width="50%">2024/10/09 09:16</th><th colspan="2" width="50%">aktuell</th></tr><tr><td class="diff-blockheader" colspan="2">Zeile 71:</td>
<td class="diff-blockheader" colspan="2">Zeile 71:</td>
</tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">Das zweite Attribut "IDPEmail" wird von AzureAD erwartet und sollte die primäre E-Mail Adresse des Benutzers enthalten. Auf alle Fälle, muss sie dem entsprechen, was bei der Erstellung der Benutzer im AzureAD verwendet wird. Das Mapping scheint nicht zu funktionieren, wenn einer der beiden Werte nicht stimmt.</td><td class="diff-lineheader"> </td><td class="diff-context">Das zweite Attribut "IDPEmail" wird von AzureAD erwartet und sollte die primäre E-Mail Adresse des Benutzers enthalten. Auf alle Fälle, muss sie dem entsprechen, was bei der Erstellung der Benutzer im AzureAD verwendet wird. Das Mapping scheint nicht zu funktionieren, wenn einer der beiden Werte nicht stimmt.</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">Weitere Konfigurationen sind in der relying-party.xml notwendig, da AzuerAD eine signierte Assertion voraussetzt und nicht mit einer signierten SAML Response zufrieden ist. An dieser Stelle sollte man nochmal sicherheitshalber das preferierte NameID Format festlegen. In den Metadaten des MicrosoftOnline SP stehen zwar mehrere zur Auswahl, tatsächlich scheint aber nur die <strong class="diff-mark">persitente </strong>NameID untersützt zu werden.</td><td class="diff-lineheader">+</td><td class="diff-addedline">Weitere Konfigurationen sind in der relying-party.xml notwendig, da AzuerAD eine signierte Assertion voraussetzt und nicht mit einer signierten SAML Response zufrieden ist. An dieser Stelle sollte man nochmal sicherheitshalber das preferierte NameID Format festlegen. In den Metadaten des MicrosoftOnline SP stehen zwar mehrere zur Auswahl, tatsächlich scheint aber nur die <strong class="diff-mark">persistente </strong>NameID untersützt zu werden.</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">    <util:list id="shibboleth.RelyingPartyOverrides"></td><td class="diff-lineheader"> </td><td class="diff-context">    <util:list id="shibboleth.RelyingPartyOverrides"></td></tr>
</table>