Wiki-Quellcode von SAML 2.0
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{content/}} | ||
| 2 | |||
| 3 | Auf der Oberfläche zur Konfiguration eines dem //SAML 2.0//-Standard folgenden Identity Providers (z.B. //Shibboleth 2.0//) werden die folgenden beschriebenen Parameter abgefragt. | ||
| 4 | |||
| 5 | {{info}}Bitte beachten Sie, dass es erst in einer zukünftigen Version von {{formcycle/}} möglich sein wird eine XML-Datei mit den hier vorgenommenen Konfigurationen zu generieren, welche vom Identity Provider eingelesen werden kann. | ||
| 6 | {{html}} {{/html}} | ||
| 7 | Falls eine solche XML-Konfigurationsdatei für den Identity Provider zwingend benötigt wird, muss diese anhand der an der getätigten Einstellung selbst erzeugt werden. Die Struktur und die benötigten Informationen einer solchen XML-Datei sind meist in der Hilfe des Identity Providers dokumentiert. Alternativ gibt es kostenfreie Online-Dienste, welche aus den entsprechenden Informationen eine passende XML-Konfigurationsdatei generieren. Zu beachten ist hierbei, dass es keine Möglichkeit gibt, den standardmäßig innerhalb von {{formcycle/}} generierten Keystore mit dem Schlüsselpaar herunterzuladen oder dessen Public Key auszulesen. Falls dieser Public Key für die Konfiguration vom Identity Provider benötigt wird, muss außerhalb von {{formcycle/}} ein neuer JKS-Keystore mit einem passenden Schlüsselpaar erstellt werden, dessen Public Key dann ausgelesen und in die XML-Konfigurationsdatei übertragen werden kann. Weitere Informationen zu diesem Keystore befindet sich im Unterpunkt [[Keystore verwalten>>||anchor="keystore"]].{{/info}} | ||
| 8 | |||
| 9 | == Grundeinstellungen | ||
| 10 | |||
| 11 | {{figure image="saml_grundeinstellungen_de.png" clear="h1"}}Grundeinstellungen für die Konfiguration eines neuen SAML 2.0 Identity Providers.{{/figure}} | ||
| 12 | === Name | ||
| 13 | |||
| 14 | Bezeichnung des Identity Providers in {{formcycle/}}. | ||
| 15 | |||
| 16 | === Abweichender Name auf dem Login-Button des Formulars | ||
| 17 | |||
| 18 | Wenn ein Formular so konfiguriert wurde, dass mehrere Authenthentifizierungsmöglichkeiten zur Auswahl stehen, wird beim Öffnen des Formulars ein Dialog angezeigt in dem man eine Authentifizierungsart wählen muss. Hier kann festgelegt werden, welcher Textinhalt auf dem Button für diesen Identity Provider stehen soll. | ||
| 19 | |||
| 20 | Wird an dieser Stelle nichts eingetragen, wird die unter //Name// eingetragene Bezeichung verwendet. | ||
| 21 | |||
| 22 | === Alias für Callback-URL (UUID) | ||
| 23 | |||
| 24 | Eindeutiger Identifikator, welcher der Identity Provider beim Rücksprung zu {{formcycle/}} verwendet. Dieser Wert wird automatisch generiert, kann bei Bedarf jedoch geändert werden. | ||
| 25 | |||
| 26 | === Callback-URL | ||
| 27 | |||
| 28 | Die beim Rücksprung vom Identity Provider zu {{formcycle/}} verwendete URL wird hier angezeigt und kann über das Kopieren-Symbol rechts neben der URL in die Zwischenablage kopiert werden. | ||
| 29 | |||
| 30 | |||
| 31 | == Initial sichtbare Schaltflächen | ||
| 32 | |||
| 33 | Unter den Grundeinstellungen befinden sich zunächst 3 Schaltflächen, deren Funktionen bei der Konfiguration des Identity Providers helfen sollen. | ||
| 34 | |||
| 35 | === E-Mail an Provider senden | ||
| 36 | |||
| 37 | Öffnet das im System eingerichtete E-Mail-Programm mit einer vorformulierten Anfrage bezüglich der für die Konfiguration des Identity Providers im {{formcycle/}} benötigten Informationen. | ||
| 38 | |||
| 39 | === Hilfe | ||
| 40 | |||
| 41 | Öffnet diese Hilfeseite im Browser. | ||
| 42 | |||
| 43 | === Konfiguration hinzufügen | ||
| 44 | |||
| 45 | Nachdem die benötigten Informationen vom Identitiy Provider bereitgestellt wurden, kann durch einen Klick auf diesen Button der Bereich für die Konfiguration des Identity Providers geöffnet werden. Es öffnet sich der im folgenden beschriebene Bereich //Konfiguration//. | ||
| 46 | |||
| 47 | == Konfiguration | ||
| 48 | |||
| 49 | {{figure image="saml_konfiguration_de.png" clear="h2"}}Konfigurationsoptionen eines SAML 2.0 Identity Providers.{{/figure}} | ||
| 50 | === Konfigurationsdatei | ||
| 51 | |||
| 52 | * **Konfigurationsdatei hochladen**: Durch das Drücken dieser Schaltläche öffnet sich ein Dateiauswahldialog, mit dem die vom Identity Provider gelieferte Konfigurationsdatei ausgewählt werden kann. Durch das Bestätigen der Auswahl im Dialog wird die Datei hochgeladen. | ||
| 53 | |||
| 54 | * **//Dateiname.xml//**: Nachdem eine Konfigurationsdatei hochgeladen und die Konfiguration gespeichert wurde, besteht die Möglichkeit, die Datei an dieser Stelle wieder herunterzuladen. Der Download wird durch einen Klick auf den Dateinamen oder das {{ficon name="download-circle-outline"/}}-Symbol gestartet. | ||
| 55 | |||
| 56 | |||
| 57 | === Attributsmapping zu Benutzern | ||
| 58 | |||
| 59 | Durch klicken auf //Attributsmapping zu Benutzern// können die Konfigurationsfelder für das Mapping einzelner Attribute sichtbar gemacht werden. Für die folgenden Daten können SAML-Attribute konfiguriert werden, wobei in jedem Fall der Name des //saml:Attribute// Knotens angegeben werden muss. | ||
| 60 | |||
| 61 | * **Vorname (firstName)**: Vorname des Benutzers | ||
| 62 | * **Nachname (familyName)**: Nachname des Benutzers | ||
| 63 | * **Anzeigename (displayName)**: Anzeigename des Benutzers | ||
| 64 | * **Benutzername (userName)**: Benutzername des Benutzers | ||
| 65 | * **E-Mail (mail)**: E-Mail-Adresse des Benutzers | ||
| 66 | * **Sprache (locale)**: Sprache des Benutzers | ||
| 67 | * **Standort (location)**: Standort des Benutzers | ||
| 68 | * **Bild-URL (pictureUrl)**: Bild-URL des Benutzers | ||
| 69 | * **Profil-URL (profileUrl)**: Profil-URL des Benutzers | ||
| 70 | |||
| 71 | {{id name="keystore" /}} | ||
| 72 | === Keystore verwalten | ||
| 73 | |||
| 74 | Durch klicken auf //Keystore verwalten// werden die Einstellungen für den Keystore sichtbar. Zunächst gibt es dort die beiden folgenden Schaltflächen: | ||
| 75 | |||
| 76 | * **Keystore neu erstellen**: Erstellt einen neuen Keystore mit einem neuen Schlüsselpaar | ||
| 77 | * **Keystore-Datei aktualisieren**: Öffnet einen Dateiauswahldialog, mit dem ein vorhandener Keystore ausgewählt und hochgeladen werden kann. | ||
| 78 | |||
| 79 | Nach dem Hochladen eines eigenen Keystores erscheinen zudem die folgenden Eingabelfelder: | ||
| 80 | |||
| 81 | * **Keystore-Passwort**: Passwort des Keystores | ||
| 82 | * **Keypair-Passwort**: Passwort des Schlüsselpaars | ||
| 83 | |||
| 84 | {{info}}Bei eigenen Keystores muss es sich um Java-Keystores vom Typ JKS handeln, welche ein entsprechendes 2048-Bit RSA-Schlüsselpaar enthalten. Ein solcher Keystore kann zum Beispiel mit dem Hilfsprogramm //keytool// für Zertifikatslebensdauer von ca. 10 Jahren (3650 Tagen) über den folgenden Befehl generiert werden: {{code language="none"}}keytool -genkeypair -alias ihr-alias -keypass ihr-passwort -keystore samlKeystore.jks -storepass ihr-passwort -keyalg RSA -keysize 2048 -validity 3650{{/code}}{{/info}} | ||
| 85 | |||
| 86 | {{figure image="saml_weitere_einstellungen_de.png" clear="h2"}}Erweiterte Einstellungen für die Konfiguration eines SAML 2.0 Identity Providers.{{/figure}} | ||
| 87 | === Weitere Einstellungen | ||
| 88 | |||
| 89 | Durch einem Klick auf //Weitere Einstellungen// können weitere Parameter für die Verbindung mit dem Identity Provider konfiguriert werden. | ||
| 90 | |||
| 91 | ==== Service provider entity ID | ||
| 92 | |||
| 93 | Optionale ID zur Identifikation gegenüber dem Identity Provider. | ||
| 94 | |||
| 95 | |||
| 96 | ==== Force authentication | ||
| 97 | |||
| 98 | Legt fest, ob eine Anmeldung durch den Benutzer erzwungen werden soll, obwohl noch eine gültige Sitzung vorhanden ist. | ||
| 99 | |||
| 100 | ==== Passive authentication | ||
| 101 | |||
| 102 | Legt fest, ob eine Anmeldung ohne Interaktion mit dem Benutzer versucht werden soll. | ||
| 103 | |||
| 104 | ==== User name qualifier | ||
| 105 | |||
| 106 | Legt fest, ob bei Anmeldungsanfragen der //NameQualifier// mitgesendet werden soll. Dies ist im SAML-Standard nicht vorgesehen, jedoch bei einigen Identity Providern notwendig. | ||
| 107 | |||
| 108 | ==== Authentication request signed | ||
| 109 | |||
| 110 | Legt fest, ob die Anmeldungsanfrage digital signiert werden soll. | ||
| 111 | |||
| 112 | ==== Logout request signed | ||
| 113 | |||
| 114 | Legt fest, ob die Abmeldungsanfrage digital signiert werden soll. | ||
| 115 | |||
| 116 | ==== Wants assertions signed | ||
| 117 | |||
| 118 | Legt fest, ob die SAML-Aussagen (Assertions) digital signiert erwartet werden. | ||
| 119 | |||
| 120 | ==== Wants response signed | ||
| 121 | |||
| 122 | Legt fest, ob die SAML-Antworten digital signiert erwartet werden. | ||
| 123 | |||
| 124 | |||
| 125 | ==== Max. authentication lifetime (Sekunden) | ||
| 126 | |||
| 127 | Maximale dauer einer bestehenden Anmeldung beim Identity Provider. Standardwert ist {{code language="none"}}3600{{/code}} Sekunden. | ||
| 128 | |||
| 129 | ==== Max. clock skew (Sekunden) | ||
| 130 | |||
| 131 | Maximal erlaubter Unterschied zwischen den Systemuhrzeiten von {{fcserver/}} und dem Identity Provider. Standardwert ist {{code language="none"}}300{{/code}} Sekunden. | ||
| 132 | |||
| 133 | ==== Assertion consumer service index | ||
| 134 | |||
| 135 | Legt den Index des Assertion Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist {{code language="none"}}-1{{/code}}, was dem Standard des Identity Providers entspricht. | ||
| 136 | |||
| 137 | ==== Attribute consumer service index | ||
| 138 | |||
| 139 | Legt den Index des Attribute Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist {{code language="none"}}-1{{/code}}, was dem Standard des Identity Providers entspricht. | ||
| 140 | |||
| 141 | |||
| 142 | ==== Authentication request binding type | ||
| 143 | |||
| 144 | Übermittlungstyp, mit welchem FORMCYCLE eine Anmeldung am Identity Provider anfragt. | ||
| 145 | |||
| 146 | ==== Response binding type | ||
| 147 | |||
| 148 | Übermittlungstyp, mit welchem der Identity Provider auf eine Anmeldung von FORMCYCLE antwortet. | ||
| 149 | |||
| 150 | ==== Logout request binding type | ||
| 151 | |||
| 152 | Übermittlungstyp, mit welchem FORMCYCLE eine Abmeldung am Identity Provider anfragt. | ||
| 153 | |||
| 154 | ==== Logout response binding type | ||
| 155 | |||
| 156 | Übermittlungstyp, mit welchem der Identity Provider auf eine Abmeldung von FORMCYCLE antwortet. | ||
| 157 | |||
| 158 | |||
| 159 | ==== Signature canonicalization algorithm | ||
| 160 | |||
| 161 | Legt den Algortithmus fest, welcher für die Umwandlung der signierten Anfrage in eine standrdisierte XML-Normalform verwendet werden soll. Standardmäßig wird {{code language="none"}}http://www.w3.org/2001/10/xml-exc-c14n#{{/code}} verwendet. | ||
| 162 | |||
| 163 | ==== Black listed signature signing algorithms | ||
| 164 | |||
| 165 | Für das Signieren verbotene Algorithmen. | ||
| 166 | |||
| 167 | ==== Signature algorithms | ||
| 168 | |||
| 169 | Für das Signieren erlaubte Algorithmen. | ||
| 170 | |||
| 171 | ==== Signature reference digest methods | ||
| 172 | |||
| 173 | Gibt die Hash-Algorithmen an, welche beim Signieren der SAML-Aussagen (Assertions) erlaubt sind. |