Umleitung auf anderen SP

Franck Borel franck.borel at gbv.de
Do Okt 23 16:17:44 CEST 2008


Hallo Herr Kornexl,

jop das geht. Wir haben in Freiburg für solche Fälle einen Filter  
(Flex) für den IdP 1.3.3 programmiert. Den kann ich Ihnen gerne zur  
Verfügung stellen. Falls Sie einen IdP 2 verwenden, müssten Sie einen  
eigenen Authentication-Handler bauen. Das ist nicht ganz so einfach.  
Ich werde in den kommenden Wochen eine Flex für den IdP 2  
programmieren, welches Sie gerne für Ihre Zwecke verwenden können.  
Falls Sie nicht darauf warten, können Sie unter https://spaces.internet2.edu/display/SHIB2/IdPDevCustomExtension 
  nachlesen, wie man das macht.

Leider wird es nicht reichen, nur die login.jsp oder die login- 
error.jsp zu ändern. Die Standardauthentifizierung des Tomcats erlaubt  
keine Modifikationen oder Erweiterungen. Auch Rückgabewerte ihres LDAP  
können Sie mit der Standardauthentifizierung nicht einfach an die  
login-error.jsp durchreichen. Hierzu müssten Sie Änderungen am Tomcat  
selbst vornehmen. Mit der Flex können Sie dies alles und noch mehr  
tun :-).

Viele Grüsse

Franck Borel




Am 23.10.2008 um 15:55 schrieb Anton Kornexl:

> Hallo,
>
> gibt es eine Lösung für meine im folgenden beschriebene Anforderung:
> (ohne tief in JAVA-Programmierung einzusteigen)
>
>
> Ein Benutzer wird von einem beliebigen SP zum IDP transferiert
> Er authentisiert sich dort
> - bei bestimmten Werten im LDAP sollte er nicht zum SP zurück geleitet
> werden,
>   sondern zu einem anderen fixen SP transferiert werden, bei dem er
> über Selfservices die Werte im LDAP modifizieren kann.
>
> Es sollte auch eine zu den Ldap-Werten gehörende Meldung dem Nutzer
> angezeigt werden.
>
> Eine spez. Anwendung dafür:
> Wir haben Passwörter die regelmäßig geändert werden müssen und wollen
> den Benutzer kurz vor Ablauf seines Passwortes zum Ändern seines
> Passworts auf eine
> entsprechende Passwortänderungsseite (ein SP) weiterleiten.
>
>
> Wäre es möglich, bei Vorliegen bestimmter Werte die Authentisierung
> (trotz gültigen Credentials) abzulehnen und dann in login-error.jsp  
> die
> gewünschte Logik einzubauen.
> Dazu müßten die (key,value)-Paare in login-error erreichbar sein und
> natürlich eine Weiterleitung zum speziellen SP möglich sein.
> Notwendig wäre dazu dann eine implizite Authentisierung (bei korrekten
> Credentials) beim speziellen SP.
> Ein Link alleine würde eine Endlosschleife produzieren.
>
> Eine Lösung des Problems auf SP-Seite würde die Logik bei jeder
> Anwendung erfordern.
> -- 
>
> Mit freundlichen Gruessen
> Anton Kornexl
>
> Rechenzentrum Universität Passau
> Innstr. 33
> D-90432 Passau
> Tel.: 0851/509-1812
> Fax:  0851/509-1802



More information about the Aai-users mailing list