Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:aai:mfa_mit_passwd_spnego_first [2023/12/31 15:03] – Wolfgang Pempe | de:aai:mfa_mit_passwd_spnego_first [2024/01/10 21:08] (aktuell) – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== MFA mit fudiscr und wahlweise Password/ | ====== MFA mit fudiscr und wahlweise Password/ | ||
- | ([[user:hofmann_fu-berlin.de|zurück zur fudiscr-Seite]]) | + | ([[de:shibidp: |
<callout type=" | <callout type=" | ||
Zeile 12: | Zeile 12: | ||
<!-- | <!-- | ||
<bean id=" | <bean id=" | ||
- | |||
< | < | ||
< | < | ||
Zeile 19: | Zeile 18: | ||
</ | </ | ||
- | Weiterhin muss der SPNEGO-Button im Login-Template überarbeitet werden. Gemeinsam mit dem Username/ | + | In '' |
+ | |||
+ | <file xml ./ | ||
+ | <!-- ... --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | <!-- ... --> | ||
+ | </ | ||
+ | |||
+ | Weiterhin muss der SPNEGO-Button im Login-Template überarbeitet werden | ||
<file xml ./ | <file xml ./ | ||
+ | <!-- ... --> | ||
<div class=" | <div class=" | ||
<div class=" | <div class=" | ||
- | | + | |
- | onClick=" | + | |
- | | + | # |
+ | | ||
</ | </ | ||
<div class=" | <div class=" | ||
<button type=" | <button type=" | ||
- | | + | # |
</ | </ | ||
</ | </ | ||
</ | </ | ||
+ | <!-- ... --> | ||
</ | </ | ||
- | Um innerhalb des MFA-Flows aufgerufen werden zu können, müssen in '' | + | authn/SPNEGO erwartet als eigenständiger Flow, dass Autologin aktiviert ist (um es dann zu deaktivieren). Dies lässt sich über folgenden Parameter bewerkstelligen: |
- | < | + | < |
- | < | + | idp.authn.SPNEGO.enforceRun |
- | < | + | |
- | < | + | |
- | < | + | |
- | </ | + | |
</ | </ | ||
+ | \\ | ||
+ | ==== Spezifische fudiscr-MFA-Konfiguration ==== | ||
+ | |||
+ | Zunächst in die entsprechende Transition Map definieren: | ||
+ | |||
+ | <file xml ./ | ||
+ | <!-- ... --> | ||
+ | < | ||
+ | <entry key=""> | ||
+ | <bean parent=" | ||
+ | </ | ||
+ | <entry key=" | ||
+ | <bean parent=" | ||
+ | < | ||
+ | <map> | ||
+ | <entry key=" | ||
+ | <entry key=" | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | <entry key=" | ||
+ | <bean parent=" | ||
+ | < | ||
+ | <map> | ||
+ | <entry key=" | ||
+ | <entry key=" | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | <!-- ... --> | ||
+ | </ | ||
+ | |||
+ | Die Liste der supported Principals um den entsprechenden Kerberos-Eintrag erweitern: | ||
+ | <file properties ./ | ||
+ | idp.authn.MFA.supportedPrincipals = \ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | saml2/ | ||
+ | </ | ||
+ | |||
+ | Falls für die weitere Verarbeitung im IdP die User Id ohne Realm benötigt wird (entsprechende Transformationen in der c14n-Config vorausgesetzt), | ||
+ | |||
+ | <file properties ./ | ||
+ | fudiscr.result_with_username_principal=shibboleth.Conditions.FALSE | ||
+ | </ | ||
+ | |||
+ | Sowie in '' | ||
+ | |||
+ | <file xml ./ | ||
+ | <!-- ... --> | ||
+ | < | ||
+ | <!-- was auch immer sonst hier steht --> | ||
+ | <ref bean=" | ||
+ | <ref bean=" | ||
+ | <ref bean=" | ||
+ | </ | ||
+ | <!-- ... --> | ||
+ | </ | ||
+ | |||
+ | Analog zu '' | ||
+ | |||
+ | <file properties ./ | ||
+ | idp.authn.MFA.reuseCondition=shibboleth.Conditions.FALSE | ||
+ | idp.authn.Password.reuseCondition=shibboleth.Conditions.TRUE | ||
+ | idp.authn.SPNEGO.reuseCondition=shibboleth.Conditions.TRUE | ||
+ | idp.authn.fudiscr.reuseCondition=shibboleth.Conditions.FALSE | ||
+ | </ | ||
{{tag> | {{tag> |