Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:mfa_mit_passwd_spnego_first [2023/12/31 15:33] Wolfgang Pempede:aai:mfa_mit_passwd_spnego_first [2024/01/10 21:08] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== MFA mit fudiscr und wahlweise Password/SPNEGO als erstem Faktor ====== ====== MFA mit fudiscr und wahlweise Password/SPNEGO als erstem Faktor ======
-([[user:hofmann_fu-berlin.de|zurück zur fudiscr-Seite]])+([[de:shibidp:plugin-fudiscr|zurück zur fudiscr-Seite]])
  
 <callout type="danger" title="Wichtiger Hinweis"> <callout type="danger" title="Wichtiger Hinweis">
Zeile 30: Zeile 30:
 </file> </file>
  
-Weiterhin muss der SPNEGO-Button im Login-Template überarbeitet werden. Gemeinsam mit dem Username/Password-Button sieht dies dann folgendermaßen aus:+Weiterhin muss der SPNEGO-Button im Login-Template überarbeitet werden (mensch beachte die eventId). Gemeinsam mit dem Username/Password-Button sieht dies dann folgendermaßen aus:
  
 <file xml ./views/login.vm> <file xml ./views/login.vm>
Zeile 102: Zeile 102:
 </file> </file>
  
-Falls für die weitere Verarbeitung im IdP die Nutzerkennung ohne Realm benötigt wird (entsprechende Transformationen in der c14n-Config vorausgesetzt), gilt es zu verhindern, dass der MFA-Flow mit zwei unterschiedlichen Usernames bzw. "Username Principals" arbeitet - einmal mit, einmal ohne Realm. Daher muss fudiscr daran gehindert werden, die Nutzerkennung aus der Authentisierung mit dem zweiten Faktor weiter zu verarbeiten:+Falls für die weitere Verarbeitung im IdP die User Id ohne Realm benötigt wird (entsprechende Transformationen in der c14n-Config vorausgesetzt), gilt es zu verhindern, dass der MFA-Flow mit zwei unterschiedlichen Usernames bzw. "Username Principals" arbeitet - einmal mit, einmal ohne Realm. Daher muss fudiscr daran gehindert werden, die User Id aus der Authentisierung mit dem zweiten Faktor weiter zu verarbeiten:
  
 <file properties ./conf/authn/fudiscr.properties> <file properties ./conf/authn/fudiscr.properties>
Zeile 119: Zeile 119:
     </util:list>     </util:list>
     <!-- ... -->     <!-- ... -->
 +</file>
 +
 +Analog zu ''idp.authn.Password.reuseCondition'' sollte auch die Condition für ''idp.authn.SPNEGO.reuseCondition'' gesetzt werden, also z.B.
 +
 +<file properties ./conf/authn/authn.properties>
 +idp.authn.MFA.reuseCondition=shibboleth.Conditions.FALSE
 +idp.authn.Password.reuseCondition=shibboleth.Conditions.TRUE
 +idp.authn.SPNEGO.reuseCondition=shibboleth.Conditions.TRUE
 +idp.authn.fudiscr.reuseCondition=shibboleth.Conditions.FALSE
 </file> </file>
  
 {{tag>2FA MFA Zwei-Faktor-Authentifizierung Mehr-Faktor-Authentifizierung Mehrfaktorauthentifizierung idp4 spnego}} {{tag>2FA MFA Zwei-Faktor-Authentifizierung Mehr-Faktor-Authentifizierung Mehrfaktorauthentifizierung idp4 spnego}}
  • Zuletzt geändert: vor 5 Monaten