SAML 2.0 - FORMCYCLE Wiki

Auf der Oberfläche zur Konfiguration eines dem //SAML 2.0//-Standard folgenden Identity Providers (z.B. //Shibboleth 2.0//) werden die folgenden beschriebenen Parameter abgefragt.

4

5

== Grundeinstellungen ==

6

7

8

Grundeinstellungen für die Konfiguration eines neuen SAML 2.0 Identity Providers.

=== Name ===

Bezeichnung des Identity Providers in {{formcycle/}}.

14

15

=== Abweichender Name auf dem Login-Button des Formulars ===

16

17

Wenn ein Formular so konfiguriert wurde, dass mehrere Authenthentifizierungsmöglichkeiten zur Auswahl stehen, wird beim Öffnen des Formulars ein Dialog angezeigt in dem man eine Authentifizierungsart wählen muss. Hier kann festgelegt werden, welcher Textinhalt auf dem Button für diesen Identity Provider stehen soll.

18

19

Wird an dieser Stelle nichts eingetragen, wird die unter //Name// eingetragene Bezeichung verwendet.

20

21

=== Alias für Callback-URL (UUID) ===

22

23

Eindeutiger Identifikator, welcher der Identity Provider beim Rücksprung zu {{formcycle/}} verwendet. Dieser Wert wird automatisch generiert, kann bei Bedarf jedoch geändert werden.

=== Callback-URL ===

Die beim Rücksprung vom Identity Provider zu {{formcycle/}} verwendete URL wird hier angezeigt und kann über das Kopieren-Symbol rechts neben der URL in die Zwischenablage kopiert werden.

28

29

== Initial sichtbare Schaltflächen ==

30

31

Unter den Grundeinstellungen befinden sich zunächst 3 Schaltflächen, deren Funktionen bei der Konfiguration des Identity Providers helfen sollen.

32

33

=== E-Mail an Provider senden ===

34

35

Öffnet das im System eingerichtete E-Mail-Programm mit einer vorformulierten Anfrage bezüglich der für die Konfiguration des Identity Providers im {{formcycle/}} benötigten Informationen.

=== Hilfe ===

Öffnet diese Hilfeseite im Browser.

40

41

=== Konfiguration hinzufügen ===

42

43

Nachdem die benötigten Informationen vom Identitiy Provider bereitgestellt wurden, kann durch einen Klick auf diesen Button der Bereich für die Konfiguration des Identity Providers geöffnet werden. Es öffnet sich der im folgenden beschriebene Bereich //Konfiguration//.

== Konfiguration ==

Konfigurationsoptionen eines SAML 2.0 Identity Providers.

49

50

51

=== Konfigurationsdatei ===

52

53

* **Konfigurationsdatei hochladen**: Durch das Drücken dieser Schaltläche öffnet sich ein Dateiauswahldialog, mit dem die vom Identity Provider gelieferte Konfigurationsdatei ausgewählt werden kann. Durch das Bestätigen der Auswahl im Dialog wird die Datei hochgeladen.

54

55

* **//Dateiname.xml//**: Nachdem eine Konfigurationsdatei hochgeladen und die Konfiguration gespeichert wurde, besteht die Möglichkeit, die Datei an dieser Stelle wieder herunterzuladen. Der Download wird durch einen Klick auf den Dateinamen oder das {{ficon name="download-circle-outline"/}}-Symbol gestartet.

56

57

=== Attributsmapping zu Benutzern ===

58

59

Durch klicken auf //Attributsmapping zu Benutzern// können die Konfigurationsfelder für das Mapping einzelner Attribute sichtbar gemacht werden. Für die folgenden Daten können SAML-Attribute konfiguriert werden, wobei in jedem Fall der Name des //saml:Attribute// Knotens angegeben werden muss.

60

61

* **Vorname (firstName)**: Vorname des Benutzers

62

* **Nachname (familyName)**: Nachname des Benutzers

63

* **Anzeigename (displayName)**: Anzeigename des Benutzers

64

* **Benutzername (userName)**: Benutzername des Benutzers

65

* **E-Mail (mail)**: E-Mail-Adresse des Benutzers

66

* **Sprache (locale)**: Sprache des Benutzers

67

* **Standort (location)**: Standort des Benutzers

68

* **Bild-URL (pictureUrl)**: Bild-URL des Benutzers

69

* **Profil-URL (profileUrl)**: Profil-URL des Benutzers

=== Keystore verwalten ===

74

75

Durch klicken auf //Keystore verwalten// werden die Einstellungen für den Keystore sichtbar. Zunächst gibt es dort die beiden folgenden Schaltflächen:

76

77

* **Keystore neu erstellen**: Erstellt einen neuen Keystore mit einem neuen Schlüsselpaar

78

* **Keystore-Datei aktualisieren**: Öffnet einen Dateiauswahldialog, mit dem ein vorhandener Keystore ausgewählt und hochgeladen werden kann.

79

80

Nach dem Hochladen eines eigenen Keystores erscheinen zudem die folgenden Eingabelfelder:

81

82

* **Keystore-Passwort**: Passwort des Keystores

83

* **Keypair-Passwort**: Passwort des Schlüsselpaars

84

85

86

Bei eigenen Keystores muss es sich um Java-Keystores vom Typ JKS handeln, welche ein entsprechendes 2048-Bit RSA-Schlüsselpaar enthalten. Ein solcher Keystore kann zum Beispiel mit dem Hilfsprogramm //keytool// für Zertifikatslebensdauer von ca. 10 Jahren (3650 Tagen) über den folgenden Befehl generiert werden: {{code language="none"}}keytool -genkeypair -alias ihr-alias -keypass ihr-passwort -keystore samlKeystore.jks -storepass ihr-passwort -keyalg RSA -keysize 2048 -validity 3650{{/code}}

Erweiterte Einstellungen für die Konfiguration eines SAML 2.0 Identity Providers.

91

92

93

=== Weitere Einstellungen ===

94

95

Durch einem Klick auf //Weitere Einstellungen// können weitere Parameter für die Verbindung mit dem Identity Provider konfiguriert werden.

96

97

==== Service provider entity ID ====

98

99

Optionale ID zur Identifikation gegenüber dem Identity Provider.

100

101

102

==== Force authentication ====

103

104

Legt fest, ob eine Anmeldung durch den Benutzer erzwungen werden soll, obwohl noch eine gültige Sitzung vorhanden ist.

105

106

==== Passive authentication ====

107

108

Legt fest, ob eine Anmeldung ohne Interaktion mit dem Benutzer versucht werden soll.

109

110

==== User name qualifier ====

111

112

Legt fest, ob bei Anmeldungsanfragen der //NameQualifier// mitgesendet werden soll. Dies ist im SAML-Standard nicht vorgesehen, jedoch bei einigen Identity Providern notwendig.

113

114

==== Authentication request signed ====

115

116

Legt fest, ob die Anmeldungsanfrage digital signiert werden soll.

117

118

==== Logout request signed ====

119

120

Legt fest, ob die Abmeldungsanfrage digital signiert werden soll.

121

122

==== Wants assertions signed ====

123

124

Legt fest, ob die SAML-Aussagen (Assertions) digital signiert erwartet werden.

125

126

==== Wants response signed ====

127

128

Legt fest, ob die SAML-Antworten digital signiert erwartet werden.

129

130

131

==== Max. authentication lifetime (Sekunden) ====

132

133

Maximale dauer einer bestehenden Anmeldung beim Identity Provider. Standardwert ist {{code language="none"}}3600{{/code}} Sekunden.

134

135

==== Max. clock skew (Sekunden) ====

136

137

Maximal erlaubter Unterschied zwischen den Systemuhrzeiten von {{fcserver/}} und dem Identity Provider. Standardwert ist {{code language="none"}}300{{/code}} Sekunden.

138

139

==== Assertion consumer service index ====

140

141

Legt den Index des Assertion Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist {{code language="none"}}-1{{/code}}, was dem Standard des Identity Providers entspricht.

142

143

==== Attribute consumer service index ====

144

145

Legt den Index des Attribute Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist {{code language="none"}}-1{{/code}}, was dem Standard des Identity Providers entspricht.

146

147

148

==== Authentication request binding type ====

149

150

Übermittlungstyp, mit welchem FORMCYCLE eine Anmeldung am Identity Provider anfragt.

151

152

==== Response binding type ====

153

154

Übermittlungstyp, mit welchem der Identity Provider auf eine Anmeldung von FORMCYCLE antwortet.

155

156

==== Logout request binding type ====

157

158

Übermittlungstyp, mit welchem FORMCYCLE eine Abmeldung am Identity Provider anfragt.

159

160

==== Logout response binding type ====

161

162

Übermittlungstyp, mit welchem der Identity Provider auf eine Abmeldung von FORMCYCLE antwortet.

163

164

165

==== Signature canonicalization algorithm ====

166

167

Legt den Algortithmus fest, welcher für die Umwandlung der signierten Anfrage in eine standrdisierte XML-Normalform verwendet werden soll. Standardmäßig wird {{code language="none"}}http://www.w3.org/2001/10/xml-exc-c14n#{{/code}} verwendet.

168

169

==== Black listed signature signing algorithms ====

170

171

Für das Signieren verbotene Algorithmen.

172

173

==== Signature algorithms ====

174

175

Für das Signieren erlaubte Algorithmen.

176

177

==== Signature reference digest methods ====

178

179

Gibt die Hash-Algorithmen an, welche beim Signieren der SAML-Aussagen (Assertions) erlaubt sind.

Wiki-Quellcode von SAML 2.0

Navigation

author	version	line-number	content
		1	{{content/}}
		2
		3	Auf der Oberfläche zur Konfiguration eines dem //SAML 2.0//-Standard folgenden Identity Providers (z.B. //Shibboleth 2.0//) werden die folgenden beschriebenen Parameter abgefragt.
		4
		5	== Grundeinstellungen ==
		6
		7	{{figure image="saml_base_settings_de.png" clear="h1"}}
		8	Grundeinstellungen für die Konfiguration eines neuen SAML 2.0 Identity Providers.
		9	{{/figure}}
		10
		11	=== Name ===
		12
		13	Bezeichnung des Identity Providers in {{formcycle/}}.
		14
		15	=== Abweichender Name auf dem Login-Button des Formulars ===
		16
		17	Wenn ein Formular so konfiguriert wurde, dass mehrere Authenthentifizierungsmöglichkeiten zur Auswahl stehen, wird beim Öffnen des Formulars ein Dialog angezeigt in dem man eine Authentifizierungsart wählen muss. Hier kann festgelegt werden, welcher Textinhalt auf dem Button für diesen Identity Provider stehen soll.
		18
		19	Wird an dieser Stelle nichts eingetragen, wird die unter //Name// eingetragene Bezeichung verwendet.
		20
		21	=== Alias für Callback-URL (UUID) ===
		22
		23	Eindeutiger Identifikator, welcher der Identity Provider beim Rücksprung zu {{formcycle/}} verwendet. Dieser Wert wird automatisch generiert, kann bei Bedarf jedoch geändert werden.
		24
		25	=== Callback-URL ===
		26
		27	Die beim Rücksprung vom Identity Provider zu {{formcycle/}} verwendete URL wird hier angezeigt und kann über das Kopieren-Symbol rechts neben der URL in die Zwischenablage kopiert werden.
		28
		29	== Initial sichtbare Schaltflächen ==
		30
		31	Unter den Grundeinstellungen befinden sich zunächst 3 Schaltflächen, deren Funktionen bei der Konfiguration des Identity Providers helfen sollen.
		32
		33	=== E-Mail an Provider senden ===
		34
		35	Öffnet das im System eingerichtete E-Mail-Programm mit einer vorformulierten Anfrage bezüglich der für die Konfiguration des Identity Providers im {{formcycle/}} benötigten Informationen.
		36
		37	=== Hilfe ===
		38
		39	Öffnet diese Hilfeseite im Browser.
		40
		41	=== Konfiguration hinzufügen ===
		42
		43	Nachdem die benötigten Informationen vom Identitiy Provider bereitgestellt wurden, kann durch einen Klick auf diesen Button der Bereich für die Konfiguration des Identity Providers geöffnet werden. Es öffnet sich der im folgenden beschriebene Bereich //Konfiguration//.
		44
		45	== Konfiguration ==
		46
		47	{{figure image="saml_configuration_de.png" clear="h2"}}
		48	Konfigurationsoptionen eines SAML 2.0 Identity Providers.
		49	{{/figure}}
		50
		51	=== Konfigurationsdatei ===
		52
		53	* Konfigurationsdatei hochladen: Durch das Drücken dieser Schaltläche öffnet sich ein Dateiauswahldialog, mit dem die vom Identity Provider gelieferte Konfigurationsdatei ausgewählt werden kann. Durch das Bestätigen der Auswahl im Dialog wird die Datei hochgeladen.
		54
		55	* //Dateiname.xml//: Nachdem eine Konfigurationsdatei hochgeladen und die Konfiguration gespeichert wurde, besteht die Möglichkeit, die Datei an dieser Stelle wieder herunterzuladen. Der Download wird durch einen Klick auf den Dateinamen oder das {{ficon name="download-circle-outline"/}}-Symbol gestartet.
		56
		57	=== Attributsmapping zu Benutzern ===
		58
		59	Durch klicken auf //Attributsmapping zu Benutzern// können die Konfigurationsfelder für das Mapping einzelner Attribute sichtbar gemacht werden. Für die folgenden Daten können SAML-Attribute konfiguriert werden, wobei in jedem Fall der Name des //saml:Attribute// Knotens angegeben werden muss.
		60
		61	* Vorname (firstName): Vorname des Benutzers
		62	* Nachname (familyName): Nachname des Benutzers
		63	* Anzeigename (displayName): Anzeigename des Benutzers
		64	* Benutzername (userName): Benutzername des Benutzers
		65	* E-Mail (mail): E-Mail-Adresse des Benutzers
		66	* Sprache (locale): Sprache des Benutzers
		67	* Standort (location): Standort des Benutzers
		68	* Bild-URL (pictureUrl): Bild-URL des Benutzers
		69	* Profil-URL (profileUrl): Profil-URL des Benutzers
		70
		71	{{id name="keystore"/}}
		72
		73	=== Keystore verwalten ===
		74
		75	Durch klicken auf //Keystore verwalten// werden die Einstellungen für den Keystore sichtbar. Zunächst gibt es dort die beiden folgenden Schaltflächen:
		76
		77	* Keystore neu erstellen: Erstellt einen neuen Keystore mit einem neuen Schlüsselpaar
		78	* Keystore-Datei aktualisieren: Öffnet einen Dateiauswahldialog, mit dem ein vorhandener Keystore ausgewählt und hochgeladen werden kann.
		79
		80	Nach dem Hochladen eines eigenen Keystores erscheinen zudem die folgenden Eingabelfelder:
		81
		82	* Keystore-Passwort: Passwort des Keystores
		83	* Keypair-Passwort: Passwort des Schlüsselpaars
		84
		85	{{info}}
		86	Bei eigenen Keystores muss es sich um Java-Keystores vom Typ JKS handeln, welche ein entsprechendes 2048-Bit RSA-Schlüsselpaar enthalten. Ein solcher Keystore kann zum Beispiel mit dem Hilfsprogramm //keytool// für Zertifikatslebensdauer von ca. 10 Jahren (3650 Tagen) über den folgenden Befehl generiert werden: {{code language="none"}}keytool -genkeypair -alias ihr-alias -keypass ihr-passwort -keystore samlKeystore.jks -storepass ihr-passwort -keyalg RSA -keysize 2048 -validity 3650{{/code}}
		87	{{/info}}
		88
		89	{{figure image="saml_weitere_einstellungen_de.png" clear="h2"}}
		90	Erweiterte Einstellungen für die Konfiguration eines SAML 2.0 Identity Providers.
		91	{{/figure}}
		92
		93	=== Weitere Einstellungen ===
		94
		95	Durch einem Klick auf //Weitere Einstellungen// können weitere Parameter für die Verbindung mit dem Identity Provider konfiguriert werden.
		96
		97	==== Service provider entity ID ====
		98
		99	Optionale ID zur Identifikation gegenüber dem Identity Provider.
		100
		101
		102	==== Force authentication ====
		103
		104	Legt fest, ob eine Anmeldung durch den Benutzer erzwungen werden soll, obwohl noch eine gültige Sitzung vorhanden ist.
		105
		106	==== Passive authentication ====
		107
		108	Legt fest, ob eine Anmeldung ohne Interaktion mit dem Benutzer versucht werden soll.
		109
		110	==== User name qualifier ====
		111
		112	Legt fest, ob bei Anmeldungsanfragen der //NameQualifier// mitgesendet werden soll. Dies ist im SAML-Standard nicht vorgesehen, jedoch bei einigen Identity Providern notwendig.
		113
		114	==== Authentication request signed ====
		115
		116	Legt fest, ob die Anmeldungsanfrage digital signiert werden soll.
		117
		118	==== Logout request signed ====
		119
		120	Legt fest, ob die Abmeldungsanfrage digital signiert werden soll.
		121
		122	==== Wants assertions signed ====
		123
		124	Legt fest, ob die SAML-Aussagen (Assertions) digital signiert erwartet werden.
		125
		126	==== Wants response signed ====
		127
		128	Legt fest, ob die SAML-Antworten digital signiert erwartet werden.
		129
		130
		131	==== Max. authentication lifetime (Sekunden) ====
		132
		133	Maximale dauer einer bestehenden Anmeldung beim Identity Provider. Standardwert ist {{code language="none"}}3600{{/code}} Sekunden.
		134
		135	==== Max. clock skew (Sekunden) ====
		136
		137	Maximal erlaubter Unterschied zwischen den Systemuhrzeiten von {{fcserver/}} und dem Identity Provider. Standardwert ist {{code language="none"}}300{{/code}} Sekunden.
		138
		139	==== Assertion consumer service index ====
		140
		141	Legt den Index des Assertion Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist {{code language="none"}}-1{{/code}}, was dem Standard des Identity Providers entspricht.
		142
		143	==== Attribute consumer service index ====
		144
		145	Legt den Index des Attribute Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist {{code language="none"}}-1{{/code}}, was dem Standard des Identity Providers entspricht.
		146
		147
		148	==== Authentication request binding type ====
		149
		150	Übermittlungstyp, mit welchem FORMCYCLE eine Anmeldung am Identity Provider anfragt.
		151
		152	==== Response binding type ====
		153
		154	Übermittlungstyp, mit welchem der Identity Provider auf eine Anmeldung von FORMCYCLE antwortet.
		155
		156	==== Logout request binding type ====
		157
		158	Übermittlungstyp, mit welchem FORMCYCLE eine Abmeldung am Identity Provider anfragt.
		159
		160	==== Logout response binding type ====
		161
		162	Übermittlungstyp, mit welchem der Identity Provider auf eine Abmeldung von FORMCYCLE antwortet.
		163
		164
		165	==== Signature canonicalization algorithm ====
		166
		167	Legt den Algortithmus fest, welcher für die Umwandlung der signierten Anfrage in eine standrdisierte XML-Normalform verwendet werden soll. Standardmäßig wird {{code language="none"}}http://www.w3.org/2001/10/xml-exc-c14n#{{/code}} verwendet.
		168
		169	==== Black listed signature signing algorithms ====
		170
		171	Für das Signieren verbotene Algorithmen.
		172
		173	==== Signature algorithms ====
		174
		175	Für das Signieren erlaubte Algorithmen.
		176
		177	==== Signature reference digest methods ====
		178
		179	Gibt die Hash-Algorithmen an, welche beim Signieren der SAML-Aussagen (Assertions) erlaubt sind.