Dokumentation DFN-AAI, DFN-PKI und eduroam - user:hofmann_fu-berlin.de
https://doku.tid.dfn.de/
2026-05-31T08:51:17+00:00Dokumentation DFN-AAI, DFN-PKI und eduroam
https://doku.tid.dfn.de/
https://doku.tid.dfn.de/_media/logo.pngtext/html2024-10-08T08:30:36+00:00Anonymous (anonymous@undisclosed.example.com)edumfa_setup
https://doku.tid.dfn.de/user:hofmann_fu-berlin.de:edumfa_setup?rev=1728376236&do=diff
<table><tr><th colspan="2" width="50%">2024/10/08 10:28</th><th colspan="2" width="50%">aktuell</th></tr><tr><td class="diff-blockheader" colspan="2">Zeile 67:</td>
<td class="diff-blockheader" colspan="2">Zeile 67:</td>
</tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">==== Notwendige Richtlinien ====</td><td class="diff-lineheader"> </td><td class="diff-context">==== Notwendige Richtlinien ====</td></tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">Das fudiscr-Plugin benötigt für bestimmte <strong class="diff-mark">Tokenverfahren </strong>wie WebAuthn und zur Reduzierung von API-Anfragen das Recht, für ''/validate/triggerchallenge'' auf <strong class="diff-mark">Tokentypen </strong>einschränken zu können.</td><td class="diff-lineheader">+</td><td class="diff-addedline">Das fudiscr-Plugin benötigt für bestimmte <strong class="diff-mark">Token-Verfahren </strong>wie WebAuthn und zur Reduzierung von API-Anfragen das Recht, für ''/validate/triggerchallenge'' auf <strong class="diff-mark">Token-Typen </strong>einschränken zu können.</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">Hierfür wird eine neue Datei //idp-application-tokentype// erstellt, welche die Parameter der Policy als Python-Dictionary enthält. Der Inhalt sollte so aussehen:</td><td class="diff-lineheader"> </td><td class="diff-context">Hierfür wird eine neue Datei //idp-application-tokentype// erstellt, welche die Parameter der Policy als Python-Dictionary enthält. Der Inhalt sollte so aussehen:</td></tr>
<tr><td class="diff-blockheader" colspan="2">Zeile 215:</td>
<td class="diff-blockheader" colspan="2">Zeile 215:</td>
</tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.edumfa.singleton''|''true''|Gibt an, ob der vom fudiscr-Plugin verwendete //EduMfaChallengeResponseClient// nur einmal instanziiert wird. In manchen Anwendungsfällen kann es die Performance verbessern, wenn mehrere Instanzen zugelassen werden.|</td><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.edumfa.singleton''|''true''|Gibt an, ob der vom fudiscr-Plugin verwendete //EduMfaChallengeResponseClient// nur einmal instanziiert wird. In manchen Anwendungsfällen kann es die Performance verbessern, wenn mehrere Instanzen zugelassen werden.|</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.edumfa.user_agent_ip_address_parameter_name''|//leer//|Wird mit dieser Option ein Name angegeben, so wird bei jeder Anfrage gegen die eduMFA-API die IP-Adresse des Users als Parameter mit diesem Namen übergeben.|</td><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.edumfa.user_agent_ip_address_parameter_name''|//leer//|Wird mit dieser Option ein Name angegeben, so wird bei jeder Anfrage gegen die eduMFA-API die IP-Adresse des Users als Parameter mit diesem Namen übergeben.|</td></tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">|''fudiscr.edumfa.with_additional_pin_response''|''false''|In eduMFA ist es möglich, neben dem one time password/code noch eine PIN zu verlangen. Wenn dieser Konfigurationsparameter auf ''true'' gesetzt ist, dann ergänzt das fudiscr-Plugin auf der Eingabeseite für die Response ein PIN-Feld. Nur für die <strong class="diff-mark">Tokentypen </strong>//hotp//, //indexed_tan//, //registration_code//, //tan//, //totp// und //yubikey_otp// wird diese Funktionalität unterstützt.|</td><td class="diff-lineheader">+</td><td class="diff-addedline">|''fudiscr.edumfa.with_additional_pin_response''|''false''|In eduMFA ist es möglich, neben dem one time password/code noch eine PIN zu verlangen. Wenn dieser Konfigurationsparameter auf ''true'' gesetzt ist, dann ergänzt das fudiscr-Plugin auf der Eingabeseite für die Response ein PIN-Feld. Nur für die <strong class="diff-mark">Token-Typen </strong>//hotp//, //indexed_tan//, //registration_code//, //tan//, //totp// und //yubikey_otp// wird diese Funktionalität unterstützt.|</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">**Hinweis**: In Abhängigkeit von der Konfigurationsweise des Shibboleth Identity Providers empfiehlt es sich, Token und Passwörter wie in ''fudiscr.edumfa.authorization_token'' und ''fudiscr.edumfa.service_password'' in geschützte/unversionierte Dateien wie ''%{idp.home}/credentials/secrets.properties'' auszulagern.</td><td class="diff-lineheader"> </td><td class="diff-context">**Hinweis**: In Abhängigkeit von der Konfigurationsweise des Shibboleth Identity Providers empfiehlt es sich, Token und Passwörter wie in ''fudiscr.edumfa.authorization_token'' und ''fudiscr.edumfa.service_password'' in geschützte/unversionierte Dateien wie ''%{idp.home}/credentials/secrets.properties'' auszulagern.</td></tr>
</table>text/html2024-10-08T08:35:15+00:00Anonymous (anonymous@undisclosed.example.com)privacyidea_setup
https://doku.tid.dfn.de/user:hofmann_fu-berlin.de:privacyidea_setup?rev=1728376515&do=diff
<table><tr><th colspan="2" width="50%">2024/10/08 10:09</th><th colspan="2" width="50%">aktuell</th></tr><tr><td class="diff-blockheader" colspan="2">Zeile 20:</td>
<td class="diff-blockheader" colspan="2">Zeile 20:</td>
</tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">Zunächst muss ein Admin-Nutzer für den Zugriff vom Identity Provider angelegt werden. Es empfiehlt sich, hierfür auch einen eigenen (administrativen) Realm anzulegen, um Berechtigungen für unterschiedliche Arten von Admin später besser trennen zu können. Der anzulegende Nutzer kann dann aus einer beliebigen externen Quelle kommen und über einen in privacyIDEA definierten Resolver importiert werden.</td><td class="diff-lineheader"> </td><td class="diff-context">Zunächst muss ein Admin-Nutzer für den Zugriff vom Identity Provider angelegt werden. Es empfiehlt sich, hierfür auch einen eigenen (administrativen) Realm anzulegen, um Berechtigungen für unterschiedliche Arten von Admin später besser trennen zu können. Der anzulegende Nutzer kann dann aus einer beliebigen externen Quelle kommen und über einen in privacyIDEA definierten Resolver importiert werden.</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">Das Anlegen von Realms und Resolvern ist nicht Thema dieser Anleitung. Wir legen hier jedoch der Einfachheit und Anschaulichkeit wegen einen <strong class="diff-mark">PrivacyIDEA</strong>-internen IdP-Admin-Nutzer an.</td><td class="diff-lineheader">+</td><td class="diff-addedline">Das Anlegen von Realms und Resolvern ist nicht Thema dieser Anleitung. Wir legen hier jedoch der Einfachheit und Anschaulichkeit wegen einen <strong class="diff-mark">privacyIDEA</strong>-internen IdP-Admin-Nutzer an.</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"><code></td><td class="diff-lineheader"> </td><td class="diff-context"><code></td></tr>
<tr><td class="diff-blockheader" colspan="2">Zeile 67:</td>
<td class="diff-blockheader" colspan="2">Zeile 67:</td>
</tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">==== Notwendige Richtlinie ====</td><td class="diff-lineheader"> </td><td class="diff-context">==== Notwendige Richtlinie ====</td></tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">Das fudiscr-Plugin benötigt für bestimmte <strong class="diff-mark">Tokenverfahren </strong>wie WebAuthn und zur Reduzierung von API-Anfragen das Recht, für ''/validate/triggerchallenge'' auf <strong class="diff-mark">Tokentypen </strong>einschränken zu können.</td><td class="diff-lineheader">+</td><td class="diff-addedline">Das fudiscr-Plugin benötigt für bestimmte <strong class="diff-mark">Token-Verfahren </strong>wie WebAuthn und zur Reduzierung von API-Anfragen das Recht, für ''/validate/triggerchallenge'' auf <strong class="diff-mark">Token-Typen </strong>einschränken zu können.</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">Hierfür wird eine neue Datei //idp-application-tokentype// erstellt, welche die Parameter der Policy als Python-Dictionary enthält. Der Inhalt sollte so aussehen:</td><td class="diff-lineheader"> </td><td class="diff-context">Hierfür wird eine neue Datei //idp-application-tokentype// erstellt, welche die Parameter der Policy als Python-Dictionary enthält. Der Inhalt sollte so aussehen:</td></tr>
<tr><td class="diff-blockheader" colspan="2">Zeile 166:</td>
<td class="diff-blockheader" colspan="2">Zeile 166:</td>
</tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.privacyidea.singleton''|''true''|Gibt an, ob der vom fudiscr-Plugin verwendete //PrivacyIdeaChallengeResponseClient// nur einmal instanziiert wird. In manchen Anwendungsfällen kann es die Performance verbessern, wenn mehrere Instanzen zugelassen werden.|</td><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.privacyidea.singleton''|''true''|Gibt an, ob der vom fudiscr-Plugin verwendete //PrivacyIdeaChallengeResponseClient// nur einmal instanziiert wird. In manchen Anwendungsfällen kann es die Performance verbessern, wenn mehrere Instanzen zugelassen werden.|</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.privacyidea.user_agent_ip_address_parameter_name''|//leer//|Wird mit dieser Option ein Name angegeben, so wird bei jeder Anfrage gegen die privacyIDEA-API die IP-Adresse des Users als Parameter mit diesem Namen übergeben.|</td><td class="diff-lineheader"> </td><td class="diff-context">|''fudiscr.privacyidea.user_agent_ip_address_parameter_name''|//leer//|Wird mit dieser Option ein Name angegeben, so wird bei jeder Anfrage gegen die privacyIDEA-API die IP-Adresse des Users als Parameter mit diesem Namen übergeben.|</td></tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">|''fudiscr.privacyidea.with_additional_pin_response''|''false''|In privacyIDEA ist es möglich, neben dem one time password/code noch eine PIN zu verlangen. Wenn dieser Konfigurationsparameter auf ''true'' gesetzt ist, dann ergänzt das fudiscr-Plugin auf der Eingabeseite für die Response ein PIN-Feld. Nur für die <strong class="diff-mark">Tokentypen </strong>//hotp//, //indexed_tan//, //registration_code//, //tan//, //totp// und //yubikey_otp// wird diese Funktionalität unterstützt.|</td><td class="diff-lineheader">+</td><td class="diff-addedline">|''fudiscr.privacyidea.with_additional_pin_response''|''false''|In privacyIDEA ist es möglich, neben dem one time password/code noch eine PIN zu verlangen. Wenn dieser Konfigurationsparameter auf ''true'' gesetzt ist, dann ergänzt das fudiscr-Plugin auf der Eingabeseite für die Response ein PIN-Feld. Nur für die <strong class="diff-mark">Token-Typen </strong>//hotp//, //indexed_tan//, //registration_code//, //tan//, //totp// und //yubikey_otp// wird diese Funktionalität unterstützt.|</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context"></td><td class="diff-lineheader"> </td><td class="diff-context"></td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">**Hinweis**: In Abhängigkeit von der Konfigurationsweise des Shibboleth Identity Providers empfiehlt es sich, Token und Passwörter wie in ''fudiscr.privacyidea.authorization_token'' und ''fudiscr.privacyidea.service_password'' in geschützte/unversionierte Dateien wie ''%{idp.home}/credentials/secrets.properties'' auszulagern.</td><td class="diff-lineheader"> </td><td class="diff-context">**Hinweis**: In Abhängigkeit von der Konfigurationsweise des Shibboleth Identity Providers empfiehlt es sich, Token und Passwörter wie in ''fudiscr.privacyidea.authorization_token'' und ''fudiscr.privacyidea.service_password'' in geschützte/unversionierte Dateien wie ''%{idp.home}/credentials/secrets.properties'' auszulagern.</td></tr>
</table>text/html2023-06-23T16:50:52+00:00Anonymous (anonymous@undisclosed.example.com)release_notes
https://doku.tid.dfn.de/user:hofmann_fu-berlin.de:release_notes?rev=1687539052&do=diff
<table><tr><th colspan="2" width="50%">2023/06/23 18:49</th><th colspan="2" width="50%">aktuell</th></tr><tr><td class="diff-blockheader" colspan="2">Zeile 1:</td>
<td class="diff-blockheader" colspan="2">Zeile 1:</td>
</tr>
<tr><td class="diff-lineheader">-</td><td class="diff-deletedline">====== Release Notes ======</td><td class="diff-lineheader">+</td><td class="diff-addedline">====== <strong class="diff-mark">IdP-Authn-Plugin fudiscr: </strong>Release Notes ======</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">   * 1.0.0</td><td class="diff-lineheader"> </td><td class="diff-context">   * 1.0.0</td></tr>
<tr><td class="diff-lineheader"> </td><td class="diff-context">      *Veröffentlichung des Plugins</td><td class="diff-lineheader"> </td><td class="diff-context">      *Veröffentlichung des Plugins</td></tr>
</table>