Umleitung auf anderen SP

Ronald Schmidt ronald.schmidt at hrz.tu-chemnitz.de
Do Okt 23 16:11:49 CEST 2008


Hallo,

wir haben eine Vielzahl solcher Sonderlösung in einer dem SSO-Handler
vorschalteten PHP-Seite gelöst.

Konkret:

- SingleSignOnService in den Metadaten ist
  https://wtc.tu-chemnitz.de/shibboleth-idp/SSO aka "stage1"

- Dieser "stage1" wird ganz klassisch Authentifiziert (konkret bei uns
  mit mod_kerb)

- in diesem stage1 (php) realisieren wir ettliche Sonder-Themen wie z.B.:
   - "mitschneiden" des Kerberos-Tickets um es als Shib-Attribut an
     ausgewählte SPs zu leiten
   - Sharpy-Light (Nutzer muss Einverständnis zur Weitergabe von
     Attributen geben)
   - "mitschneiden" der Klient-IP für spätere Attribut-Definition
     (lib-walk-in)
   - Identifikation von Loops auf Grund falscher Cookie-Einstellungen

- wenn alles i.O. Redirect via 302 zu
  https://wtc.tu-chemnitz.de/shibboleth-idp/SSO-stage2

- erst dahinter verbirgt sich die SSO-tomcat-Ressource

- dieser wird auch klassisch Authentifiziert (da bei stage1 schon
  erfolgt -> keine neue Eingabe des PWs nötig)

Das ganze ist sehr einfach und funktioniert sehr gut. Kritiker werfen
uns jedoch vor, dass eine Authentifizierung mit Basic-Auth oder
Negotiation-Auth nicht so gut sei, wie eine Formular-basierte
Authentifizierung (Grund: Logout bei Shib 2.0)


Ronald Schmidt



On Thu, 23 Oct 2008, Anton Kornexl wrote:

> Hallo,
>
> gibt es eine Lösung für meine im folgenden beschriebene Anforderung:
> (ohne tief in JAVA-Programmierung einzusteigen)
>
>
> Ein Benutzer wird von einem beliebigen SP zum IDP transferiert
> Er authentisiert sich dort
>  - bei bestimmten Werten im LDAP sollte er nicht zum SP zurück geleitet
> werden,
>    sondern zu einem anderen fixen SP transferiert werden, bei dem er
> über Selfservices die Werte im LDAP modifizieren kann.
>
> Es sollte auch eine zu den Ldap-Werten gehörende Meldung dem Nutzer
> angezeigt werden.
>
> Eine spez. Anwendung dafür:
> Wir haben Passwörter die regelmäßig geändert werden müssen und wollen
> den Benutzer kurz vor Ablauf seines Passwortes zum Ändern seines
> Passworts auf eine
> entsprechende Passwortänderungsseite (ein SP) weiterleiten.
>
>
> Wäre es möglich, bei Vorliegen bestimmter Werte die Authentisierung
> (trotz gültigen Credentials) abzulehnen und dann in login-error.jsp die
> gewünschte Logik einzubauen.
> Dazu müßten die (key,value)-Paare in login-error erreichbar sein und
> natürlich eine Weiterleitung zum speziellen SP möglich sein.
> Notwendig wäre dazu dann eine implizite Authentisierung (bei korrekten
> Credentials) beim speziellen SP.
> Ein Link alleine würde eine Endlosschleife produzieren.
>
> Eine Lösung des Problems auf SP-Seite würde die Logik bei jeder
> Anwendung erfordern.
>

-- 
 Technische Universität Chemnitz - 09107 Chemnitz
 Universitaetsrechenzentrum      - http://www.tu-chemnitz.de/urz
 Ronald Schmidt                  - (0371) 531 31377



More information about the Aai-users mailing list