„AAIInterop-Shib2SimpleSAMLphp” változatai közötti eltérés

Innen: KIFÜ Wiki
(Új oldal, tartalma: „= Shibboleth2 IdP - SimpleSAMLphp SP Interoperabilitás = * IdP: https://papigw.aai.niif.hu/idp/shibboleth * SP: == SAML2.0 Single Si...”)
 
 
(2 közbenső módosítás, amit egy másik szerkesztő végzett, nincs mutatva)
1. sor: 1. sor:
 +
{{TRASH}}
 
= Shibboleth2 IdP - SimpleSAMLphp SP Interoperabilitás =
 
= Shibboleth2 IdP - SimpleSAMLphp SP Interoperabilitás =
 
* IdP: [[Kép:Papigw-shibboleth2-idp.xml|https://papigw.aai.niif.hu/idp/shibboleth]]
 
* IdP: [[Kép:Papigw-shibboleth2-idp.xml|https://papigw.aai.niif.hu/idp/shibboleth]]
* SP:  
+
* SP: [[Kép:Papigw-simplesaml-saml2-sp.xml]]
  
 
== SAML2.0 Single Sign on ==
 
== SAML2.0 Single Sign on ==
  
 
=== HTTP-Post ===
 
=== HTTP-Post ===
 +
* Működik
 +
* A SimpleSAMLphp nem támogatja a NameID titkosítását, csak az egész assertion titkosítását (FIXME)
 +
** ezért be kell állítani hogy a NameID-t ne titkosítsa az IdP, ugyanígy kényszeríteni kell az Attribute Push használatát is
 +
 +
<RelyingParty id="https://papigw.aai.niif.hu/simplesaml"
 +
    provider="https://papigw.aai.niif.hu/idp/shibboleth"
 +
    defaultSigningCredentialRef="IdPCredential">
 +
    <ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
 +
      encryptNameIds="never" includeAttributeStatement="true"/>
 +
</RelyingParty>
 +
 +
* A SimpleSAMLphp SP metaadatába kézzel kell beletenni az aláíró és titkosító publikus kulcsokat, mivel a kiexportált metaadat ezeket nem tartalmazza (ráadásul a php-s konfigurációban szereplő certificate/privatekey paramétereket nem lehet  abszolut elérési úttal hivatkozni, mindenképp a cert/ könyvtárban kell lenniük)
  
 
=== HTTP-Artifact ===
 
=== HTTP-Artifact ===
 +
* A SimpleSAMLphp nem támogatja a HTTP-Artifact bindingot (és általában a SOAP-ot használó bindingokat)
  
 
=== Attribute push ===
 
=== Attribute push ===
 +
* Működik
  
 
=== Attribute pull ===
 
=== Attribute pull ===
 +
* A SimpleSAMLphp nem támogatja az AttributeRequest protokollt (a SOAP binding miatt)
  
 
=== NameIDFormat ===
 
=== NameIDFormat ===
 +
* Általában urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  
 
== SAML2.0 Single Log out ==
 
== SAML2.0 Single Log out ==
 +
* A SimpleSAMLphp támogatná az SLO-t, de a shibboleth2 IdP nem. A metaadatnál panaszkodik is hogy a Shibboleth metadata nem tartalmaz SingleLogoutService-t.
 +
 +
[[Category:AAI]]

A lap jelenlegi, 2013. május 2., 10:07-kori változata


Shibboleth2 IdP - SimpleSAMLphp SP Interoperabilitás

SAML2.0 Single Sign on

HTTP-Post

  • Működik
  • A SimpleSAMLphp nem támogatja a NameID titkosítását, csak az egész assertion titkosítását (FIXME)
    • ezért be kell állítani hogy a NameID-t ne titkosítsa az IdP, ugyanígy kényszeríteni kell az Attribute Push használatát is
<RelyingParty id="https://papigw.aai.niif.hu/simplesaml"
   provider="https://papigw.aai.niif.hu/idp/shibboleth"
   defaultSigningCredentialRef="IdPCredential">
   <ProfileConfiguration xsi:type="saml:SAML2SSOProfile" 
      encryptNameIds="never" includeAttributeStatement="true"/>
</RelyingParty>
  • A SimpleSAMLphp SP metaadatába kézzel kell beletenni az aláíró és titkosító publikus kulcsokat, mivel a kiexportált metaadat ezeket nem tartalmazza (ráadásul a php-s konfigurációban szereplő certificate/privatekey paramétereket nem lehet abszolut elérési úttal hivatkozni, mindenképp a cert/ könyvtárban kell lenniük)

HTTP-Artifact

  • A SimpleSAMLphp nem támogatja a HTTP-Artifact bindingot (és általában a SOAP-ot használó bindingokat)

Attribute push

  • Működik

Attribute pull

  • A SimpleSAMLphp nem támogatja az AttributeRequest protokollt (a SOAP binding miatt)

NameIDFormat

SAML2.0 Single Log out

  • A SimpleSAMLphp támogatná az SLO-t, de a shibboleth2 IdP nem. A metaadatnál panaszkodik is hogy a Shibboleth metadata nem tartalmaz SingleLogoutService-t.