Shibboleth - Dokumentation

Einführung
1. Was ist Shibboleth?
2. Wofür wird es genutzt?
Aufbau + Funktion
1. Welche Bestandteile gibt es?
2. Wie funktioniert es?
Warum Shibboleth?
1. Alternativen
2. Welche Vorteile bringt Shibboleth?
Anbindung / Umsetzung
Entwicklung an der TU
1. Vergangenheit
2. Aktueller Stand / Zukunft
DFN-AAI Förderation
Links / Dokumentation

1. Einführung

a) Was ist Shibboleth?

OpenSource Software für Webanwendungen
Entwickelt von Internet2
Verfahren zur verteilten Zugriffssteuerung

Seitenanfang

b) Wofür wird es genutzt?

Schutz von Webdiensten (Campus-intern und extern)
- Authentifikation von Nutzern
- Autorisierung von Webzugriffen
Anbindung an zentrales IDM-System
Single-Sign-On (eine Identität für alle Anwendungen)
Bereitstellung von Nutzerinformationen

Basierend auf der Security Assertion Markup Language (SAML)

Seitenanfang

2. Aufbau + Funktion

a) Welche Bestandteile gibt es?

Identity Provider (IdP, bei der Heimateinrichtung)
- Authentifizierung (frei wählbar, Username + Password)
- Identity Management, SSO (frei wählbar, OpenLDAP bzw. IDM)
- Lieferung von Benutzerdaten (Attribute wie z.B.: E-Mail, Name, …)
Service Provider (SP, beim Anbieter oder in der Heimateinrichtung)
- Zugriffskontrolle (benötigt erfolgreiche Authentifizierung und optional Attribute zur Diensterbringung)
- kein Zugriff auf sensitive Daten der Authentifizierung
Discovery Service
- optionaler Lokalisierungsdienst
- Liste mit Einrichtungen und Anbietern
- als selbstständiger Dienst oder beim Anbieter

Seitenanfang

b) Wie funktioniert es?

Je nach Konfiguration des SP kann der Ablauf vom gezeigten Verhalten abweichen.
Dies hängt davon ab, ob der Dienst z.B. für eine einzelne Einrichtung bereit steht oder mehreren zeitgleich angeboten wird.

Bei nur einer Zieleinrichtung entfallen die Schritte 2-4!

Nutzer wählt die gewünschte URL (Resource beim SP) in seinem Browser aus
SP prüft ob Nutzer bereits eingeloggt
- bei Erfolg liefert der SP die angeforderte Seite aus (der weitere Ablauf wird gestoppt)
- bei Miss-Erfolg leitet der SP den Nutzer an einen Discovery-Service weiter (via Redirect)
Nutzer wählt aus einer Liste, zu welcher Organisation er gehört
der Discovery-Service leitet den Nutzer (via Redirect) an den ursprünglichen SP zurück
der SP stellt nun eine Authentifizierungs-Anfrage an den ausgewählten IdP
- ist der Nutzer bereits am IdP eingeloggt so wird er wieder an den SP zurückgeleitet (keine weiteren Schritte am IdP)
- existiert keine gültige Session für den Nutzer fragt der IdP den Nutzer nach seinen Zugangsdaten (in Form einer Login-Seite)
Nutzer gibt seine Zugangsdaten am IdP ein
bei Erfolg wird der Nutzer vom IdP wieder zurück an den SP geschickt
- der IdP teilt dem SP unter anderem mit, dass sich dieser erfolgreich Authentifiziert hat
- darüber hinaus werden wenn vom Nutzer aktzeptiert weitere Informationen (Attribute) an den SP weitergegeben
- der SP wertet die Attribute aus, um eventuelle Zugriffsberechtigungen zu prüfen
- darf der Nutzer auf die angeforderte Seite zugreifen, so wird ihm diese ausgeliefert

Seitenanfang

3. Warum Shibboleth?

a) Alternativen

openLDAP
Active Directory
Direktanbindung an das IDM

Seitenanfang

b) Welche Vorteile bringt Shibboleth?

Nutzer
- Single-Sign-On (eine Identität für alle Anwendungen)
- Datenschutz (Datensparsamkeit, Zustimmung nötig)
- Sicherer Zugang (Passwort und Nutzername bleiben geheim)
- Zugriff auf viele Dienste (intern + extern, teils ohne Beantragung)
Einrichtung
- simple Anbindung an IDM (geringer Aufwand und Komplexität)
- Konsolidierung und Skalierung der Benutzerverwaltung
- Erhöhung der Sicherheit
Anbieter
- keine eigene Benutzerverwaltung
- Kontrolle über die Nutzung (Autorisierung)
- breites Spektrum an Nutzern
- Richtigkeit der Daten (Fehleingaben werden vermieden)

Einziger Nachteil aus Sicht des Anbieters: kein direkter Zugriff auf Nutzerdaten

Seitenanfang

4. Anbindung / Umsetzung

a) Voraussetzungen

technisch
- Linux / Windows OS / macOS
- Apache- / IIS-Webserver
- Serverzertifikat und zugehöriger Private Key
- Shibd + mod_shib
- Möglichkeit zur Abfrage der Umgebungsvariablen des Webservers
formal
- Anfrage zur Anbindung an Testsystem (Test IdP)
- Shibboleth-Antragsformular
- Sicherheitskonzept + Verfahrensbeschreibung

Linux Shibboleth kann auf den meisten 32- und 64-Bit-Linux-Versionen gebaut werden. Offiziell unterstützt werden folgende Distributionen:

Red Hat Enterprise 7, 8, 9
CentOS 7
Rocky Linux 8, 9
Amazon Linux 2

Es werden RPM-Pakete verwendet, die auf den offiziellen Spiegelservern des Projektes verfügbar sind.

Windows Es werden Windows Server 2008 und höher unterstützt. Es werden Installer für 32-Bit und 64-Bit Systeme angeboten.

macOS Wird nicht offiziell unterstützt, aber es gibt einen macport für alle Abhängigkeiten und den SP selbst. Es wird auf freiwilliger Basis gepflegt.

Seitenanfang

b) Beantragung

Das Shibboleth-Antragsformular, welches notwendig ist damit Sie einen Ihrer Dienste "shibbolisieren" und an den Identityprovider der TU Dresden anbinden können, finden Sie im Dienstekatalog des ZIH unter dem Punkt Authentifizierungsdienste.

Möchten Sie die technische Anbindung zunächst testen um mögliche Probleme zu erkennen oder einfach nur Erfahrungen im Umgang mit Shibboleth sammeln, so stellt die TU Dresden neben einem produktiven Shibboleth-System auch eine Test-Instanz zur Verfügung.
Eine Anbindung an die Test-Umgebung ist jeder Zeit möglich und ohne große Beantragungs-Prozesse verbunden. Hier genügt eine formlose E-Mail an den Servicedesk.
Bitte beachten Sie jedoch, dass die vom Test-System bereit gestellten Nutzer-Informationen lediglich Dummy-Werte sind und keine Echtdaten enthalten.
Dafür besteht hier die Möglichkeit beliebige Accounts mit Wunschwerten zu erhalten um z.B. interne Berechtigungen Ihrer Anwendungen zu prüfen.

Bevor Sie den Antrag ausgefüllt und digital unterschrieben an den Service Desk senden, lesen Sie sich bitte die folgenden Schritte zur Einrichtung Ihres Shibboleth-Serviceproviders durch.
Welche Attribute Sie beantragen und aus dem IDM-System geliefert bekommen können, sowie eine nähere Beschreibung der Attribut-Definitionen entnehmen Sie diesen PDF-Dokumenten:

Zum Anbinden werden die Metadaten des SPs benötigt. Bitte als Anhang dem Ticket beifügen.
Genauere Informationen was die Metadaten eigentlich sind, was diese enthalten und wie Sie diese erhalten, entnehmen Sie dem Punkt Metadaten dieser Anleitung.

Wenn Ihr Dienst nicht nur TU intern, sondern auch Angehörigen anderer Heimateinrichtungen zur Verfügung stehen soll, vermerken Sie dies im Antrag.
Wir kümmern uns um die Aufnahme in die DFN-AAI oder auch die eduGAIN Föderation.

Seitenanfang

c) Installation

Bitte befolgen Sie die Installations-Anweisungen des Shibboleth-Consortiums für

Nachdem der SP erfolgreich auf Ihre System installiert wurde, sind folgende Verzeichnisse von besonderem Interesse:

Konfigurationsverzeichnis von Shibboleth. Die wichtigste Konfigurationsdatei ist shibboleth2.xml.
Linux /etc/shibboleth
Windows C:\opt\shibboleth-sp\etc\shibboleth

Log-Verzeichnis, in das die Logs geschrieben werden.
Im shibd.log finden Sie Einträge zu SAML, Meatadaten oder Sicherheitsproblemmen.
Im transaction.log sind die eigentlichen Transaktionen, die am SP eingehen.
Linux /var/log/shibboleth
Windows C:\opt\shibboleth-sp\var\log\shibboleth

Laufzeitverzeichnis, in dem die Prozess-ID und Socket-Dateien gespeichert werden.
Linux /run/shibboleth
Windows C:\opt\shibboleth-sp\var\run\shibboleth

Cache-Verzeichnis, in dem Metadaten-Backups und CRL-Dateien gecached werden.
Linux /var/cache/shibboleth
Windows C:\opt\shibboleth-sp\var\cache\shibboleth

Seitenanfang

d) Konfiguration

Die Hälfte von Shibboleth läuft innerhalb des Webservers.
Für Apache ist diese Hälfte in einem Modul namens mod_shib_22.so oder mod_shib_24.so implementiert, je nach Apache-Version.

Apache anpassen /etc/apache2/vhosts.d/ihr-sp.conf

Laden des Shibboleth-Modul

LoadModule mod_shib /usr/lib64/shibboleth/mod_shib_24.so

Weiterleitung von "http" zu "https"

<VirtualHost *:80>
	RedirectMatch permanent ^/(.*)$ https://ihr-sp.tu-dresden.de/$1
</VirtualHost>

Anfragen werden 1:1 an HTTPS weitergegeben.
Alle eingegebenen URLs bleiben erhalten.

Einstellungen für "https" (Ciphersuiten und andere Sicherheitseinstellungen)

SSLStaplingCache shmcb:/tmp/stapling_cache(102400)

<VirtualHost *:443>
	ServerName		ihr-sp.tu-dresden.de

	Header edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"
	Header edit Set-Cookie "(?i)^((?:(?!;\s?Secure).)+)$" "$1; Secure"
	Header add Strict-Transport-Security "max-age=15768000"

	SSLEngine                         on
	SSLCertificateFile                /etc/ssl/localcerts/ihr-sp.crt.pem
	SSLCertificateKeyFile             /etc/ssl/private/ihr-sp.key.pem

	SSLProtocol             		  all -SSLv3 -TLSv1 -TLSv1.1
	SSLCipherSuite          		  ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305
	SSLHonorCipherOrder               On

	SSLUseStapling                    on
	SSLStaplingReturnResponderErrors  off
	SSLCompression                    off
	SSLSessionTickets                 off

Freischalten des Shibboleth-Modul

	<Location /Shibboleth.sso>
		AuthType None
		Require all granted
	</Location>

Ressource durch Shibboleth schützen

	<Location /secure>
		AuthType shibboleth
		ShibRequestSetting requireSession 1
		require shib-session
	</Location>
</VirtualHost>

Hiermit wird erreicht, dass nur authentifizierte Nutzende Zugriff zu der geschützten Ressource https://ihr-sp.tu-dresden.de/secure erhalten.
Weitere Beispiele zur Autorisierungskonfiguration auf Webserverebene finden im Shibboleth Wiki unter AuthConfig Options.

Eempfohlene Webserver Einstellungen /etc/apache2/httpd.conf

ServerSignature     off
UseCanonicalName    off
ServerTokens        ProductOnly
ExtendedStatus      off
TraceEnable         off

Apache neustarten

# Konfiguration auf Korrektheit prüfen
:~ httpd -t
Syntax OK

# Apache neu starten
:~ systemctl restart apache2.service

Seitenanfang

Shibboleth anpassen (/etc/shibboleth/shibboleth2.xml)
- EntityID des SPs festlegen
  Dabei handelt es sich um die weltweit eindeutige Kennung des SPs. Es muss ein absoluter URL im https-Schema sein.
  zB https://ihr-sp.tu-dresden.de/shibboleth
- Definieren der REMOTE_USER Variable
  Über diese Variable wird der primäre Identifier der Nutzer übergeben. Jedes Attribut aus der attribute-map.xml (s.u.) kann als Identifier festgelegt werden. Es darf aber nur einen Wert liefern. U. a. eignet sich mail daher nicht.
  Aus Datenschutzsicht ist ein Identifier zu wählen, der zwar für die selbe Person permanent gleich bleibt, aber nicht SP-übergreifend ist. zB SAML Pairwise ID oder persistentID (beide pseudonym und targeted, also pro Nutzer:in und SP generiert und persistent). Wenn Ihre Ressource zwar geschützt werden soll, eine Wiedererkennung der Nutzenden aber nicht notwendig ist, sollten Sie auf die transientID zurückgreifen.
  Bei Mehrfachnennungen, getrennt durch Leerzeichen, ist die Reihenfolge entscheidend. Das erste Attribut, welches vom IdP mit einem Wert befüllt werden kann, wird als Identifier gesetzt.
```
<ApplicationDefaults signing="true" 
										entityID="https://ihr-sp.tu-dresden.de/shibboleth"
										REMOTE_USER="pairwise-id persistent-id">
```
- Sicherheitseinstellungen für die zukünftigen Sessions festlegen
```
	<Sessions lifetime="28800" timeout="3600" relayState="ss:mem" 
								checkAddress="false" consistentAddress="true" 
								handlerSSL="true" cookieProps="https" redirectLimit="exact">
```
  "consistentAddress="true"" -> IP-Adresse des Nutzers darf sich während der Session nicht ändern (Verhinderung von Man-In-The-Middle Attacken)
  "cookieProps="https"" -> Cookies sind nur via HTTPS zulässig
  "redirectLimit="exact"" -> Redirect nur zum aufgerufenen Protokoll/Host/Port (Missbrauch des SPs für Phishing-Angriffe verhindern)
- entityID bzw. Kennung des IdP / Discovery-Service festlegen
  Soll die Authentifikation nur gegen einen IdP möglich sein, nutzen Sie das entityID und tragen Sie hier die kennung des IdPs ein.
```
		<SSO entityID="https://idp.tu-dresden.de/idp/shibboleth">
			SAML2
		</SSO>
```
  Andernfalls nutzen Sie den Discovery Service am SP.
```
		<SSO discoveryProtocol="SAMLDS" discoveryURL="https://ihr-sp.tu-dresden.de/discover">
			SAML2
		</SSO>
```
  "entityID" -> Kennung des IdP gegen welchen sich die Nutzer authentifizieren sollen
  
  Existiert das Attribut entityID im SSO, werden die Discovery-Funktionen unwirksam und die Nutzer werden bei einem Zugriffsversuch auf geschütze Ressourcen umgehend an den entsprechenden IdP weitergeleitet.
  
  Produktiver IdP der TU Dresden:
  "https://idp.tu-dresden.de/idp/shibboleth"
  Test-IdP:
  "https://idp3-test.tu-dresden.de/idp/shibboleth"
- Logout-Variante festlegen
```
		<Logout>SAML2 Local</Logout>
```
  Die Reihenfolge gibt an, welches Verfahren vom SP initiiert wird.
  
  "SAML2" -> beendet die lokale Session am SP und leitet die Nutzenden zum weiteren Logout-Vorgang an den IdP weiter
  "Local" -> beendet "nur" die lokale Session am SP
  
  Hinweis: Bei "Local"-Logout wird empfohlen dem Nutzer einen Hinweis zu geben, dass er womöglich bei weiteren Diensten eingeloggt sein könnte!
  Nähere Informationen zu den Unterschieden der einzelnen Logout-Verfahren finden Sie weiter unten in dieser Dokumentation.
- Metadaten einbinden - Filtermechanismen
  Damit SP und IdP miteinander kommunizieren können, brauchen sie voneinander bestimmte Informationen, welche in Metadaten bereitgehalten werden.
```
		<MetadataProvider type="XML">
		<MetadataProvider type="XML" url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" 
							validate="true" backingFilePath="dfn-aai-metadata.xml" reloadInterval="3600">
			<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/>
			<MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
			<MetadataFilter type="Include">
				<Include>https://idp.tu-dresden.de/idp/shibboleth</Include>
				<Include>https://idp.htw-dresden.de/idp/shibboleth</Include>
			</MetadataFilter>
		</MetadataProvider>
```
  Die Metadaten des eigenen SP bekommt man nach erfolgreicher Konfiguration und Neustart des shibd unter dem folgenden URL:
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Metadata
  
  Die zum Download angebotene XML-Datei enthält alle benötigten Informationen
  Hinweis: Wenn sich etwas an den Metadaten eines Dienstes ändert, muss dies allen Beteiligten mitgeteilt werden.
  
  Um die Signatur der DFN-AAI Metadaten zu validieren, benötigen Sie folgendes Zertifikat:
  https://www.aai.dfn.de/metadata/dfn-aai.pem
  Legen Sie es unter /etc/ssl/aai/ ab.
  Prüfen Sie die Signatur des Zertifikats auf Gültigkeit:
```
:~ openssl x509 -noout -fingerprint -sha256 -in /etc/ssl/aai/dfn-aai.pem
```
- Zertifikat und Key definieren
```
	<CredentialResolver type="File" key="/etc/ssl/private/ihr-sp.key.pem" 
											certificate="/etc/ssl/localcerts/ihr-sp.crt.pem"/>
```
  Einfachheitshalber empfiehlt es sich, das gleiche Serverzertifikat für den Apache (Webserver) und den Shibboleth-SP zu verwenden.
  Achten Sie darauf, dass sowohl der "Apache"-Nutzer, als auch der "shibd" Leserechte auf die Dateien benötigen.
- Shibd neustarten
```
# Konfiguration prüfen
:~ shibd -t
...
overall configuration is loadable, check console or log for non-fatal problems

# shibd neustarten
:~ systemctl restart shibd.service
```

Seitenanfang

e) Sonstiges

Funktion testen
- Statusseite abfragen
  
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Status
- Metadaten generieren
  
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Metadata
- Login initiieren
  
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Login
- Session prüfen
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Session
  
  Defaultmäßig werden nur die Attribut-Namen angezeigt.
  Passen Sie folgende Zeile in der shibboleth2.xml an, um auch die Werte zu erhalten:
```

<Handler type="Session" Location="/Session" showAttributeValues="true"/>
```
- Logout initiieren
  
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Logout

Seitenanfang

Logging anpassen (/etc/shibboleth/*.logger)

Loglevel herabsetzen (für Produktiv-Betrieb)

# set overall behavior for console.logger
log4j.rootCategory=WARN, console

# set overall behavior for native.logger
log4j.rootCategory=WARN, native_log, warn_log

# set overall behavior for shibd.logger
log4j.rootCategory=WARN, shibd_log, warn_log

# set overall behavior for shibd.logger
log4j.rootCategory=WARN, syslog

Es genügt in der rootCategory den Default-Wert "INFO" gegen "WARN" zu ersetzen, da im Produktivbetrieb sonst viel mitgeloggt wird.
Bei der Problemanalyse kann dieser einfach wieder auf "INFO" oder "DEBUG" angehoben werden.

Interne Rotations-Mechanismen deaktivieren

#log4j.appender.shibd_log=org.apache.log4j.RollingFileAppender
log4j.appender.shibd_log=org.apache.log4j.FileAppender
log4j.appender.shibd_log.fileName=/var/log/shibboleth/shibd.log
#log4j.appender.shibd_log.maxFileSize=1000000
#log4j.appender.shibd_log.maxBackupIndex=10
log4j.appender.shibd_log.layout=org.apache.log4j.PatternLayout
log4j.appender.shibd_log.layout.ConversionPattern=%d{%Y-%m-%d %H:%M:%S} %p %c %x: %m%n

Damit Logfiles z.B. täglich rotiert werden und man die Art und Weiße der Rotation besser individualisieren kann, so empfiehlt es sich statt der internen Mechanismen Logrotate zu nutzen.
Daher bitte in allen "*.logger" Dateien "RollingFileAppender" gegen "FileAppender" ersetzen.
Darüber hinaus "maxFileSize" und "maxBackupIndex" auskommentieren.

#/etc/shibboleth/native.logger

#log4j.appender.native_log=org.apache.log4j.RollingFileAppender
log4j.appender.native_log=org.apache.log4j.FileAppender
log4j.appender.native_log.fileName=/var/log/shibboleth-www/native.log
#log4j.appender.native_log.maxFileSize=1000000
#log4j.appender.native_log.maxBackupIndex=10
log4j.appender.native_log.layout=org.apache.log4j.PatternLayout
log4j.appender.native_log.layout.ConversionPattern=%d{%Y-%m-%d %H:%M:%S} %p %c %x: %m%n

Bei manchen SP-Versionen landen die "native"-Logfiles unter "/var/log/apache2/...".
Hier empfiehlt es sich für eine bessere Trennung diese nach "/var/log/shibboleth-www/..." zu verschieben.

Logrotate-Skript anlegen und aktivieren (/etc/logrotate.d/shib)
```
/var/log/shibboleth/*.log /var/log/shibboleth-www/*.log {
	compress
	copytruncate
	daily
	dateext
	maxage 7
	missingok
	notifempty
	rotate 7
	sharedscripts
	postrotate
		touch /etc/shibboleth/shibboleth2.xml > /dev/null
	endscript
}
```
Mit diesem Logrotate-Skript werden z.B. Logfiles älter als 7 Tage gelöscht, um Aspekte des Datenschutz zu berücksichtigen.

Shibd neustarten.
# systemctl restart shibd.service

Cron neustarten. (zwecks Logrotate)
# systemctl restart cron.service

Fehlersuche

Loglevel erhöhen (/etc/shibboleth/shibd.logger)
```
# set overall behavior for shibd.logger
log4j.rootCategory=INFO, shibd_log, warn_log
```
Mögliche Loglevel: DEBUG, INFO, WARN, ERROR, CRIT, FATAL

Shibd neustarten.
# systemctl restart shibd.service

Logfiles auswerten (/var/log/shibboleth/)

# ll /var/log/shibboleth
-rw-r--r-- 1 shibd shibd  963673 31. Mai 10:07 shibd.log
-rw-r--r-- 1 root  root   238314 31. Mai 10:07 shibd_warn.log
-rw-r--r-- 1 shibd shibd       0  4. Dez 2013  signature.log
-rw-r--r-- 1 root  root   722938 31. Mai 11:41 transaction.log

# vi /var/log/shibboleth/transaction.log
2017-05-29 14:13:58 INFO Shibboleth-TRANSACTION [23321]: New session (ID: xxxxxxxxxx) with (applicationId: default) for principal from (IdP: https://idp.tu-dresden.de/idp/shibboleth) at (ClientAddress: xxx.xxx.xxx.xxx) with (NameIdentifier: xxxxxxxxxx) using (Protocol: urn:oasis:names:tc:SAML:2.0:protocol) from (AssertionID: xxxxxxxxxx)
2017-05-29 14:13:58 INFO Shibboleth-TRANSACTION [23321]: Cached the following attributes with session (ID: xxxxxxxxxx) for (applicationId: default) {
2017-05-29 14:13:58 INFO Shibboleth-TRANSACTION [23321]:        entitlement (1 values)
2017-05-29 14:13:58 INFO Shibboleth-TRANSACTION [23321]:        affiliation (1 values)
2017-05-29 14:13:58 INFO Shibboleth-TRANSACTION [23321]:        persistent-id (1 values)
2017-05-29 14:13:58 INFO Shibboleth-TRANSACTION [23321]: }

In der "transaction.log" sieht man z.B. für jeden erfolgreichen Login die übergebenen Attribute.
Fehler werden hingegen in der "shibd_warn.log" aufgezeichnet.

Seitenanfang

Attribute aktivieren (/etc/shibboleth/attribute-map.xml)
```
<Attribute name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" id="affiliation">
	<AttributeDecoder xsi:type="ScopedAttributeDecoder" caseSensitive="false"/>
</Attribute>
<Attribute name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" id="affiliation">
	<AttributeDecoder xsi:type="ScopedAttributeDecoder" caseSensitive="false"/>
</Attribute>
```
Für jedes Attribut gibt es zwei Schreibweisen, da je nach dem welches Protokoll gesprochen wird diese unterschiedlich codiert werden.
SAML1 -> "urn:mace:..."
SAML2 -> "urn:oid:..."

Meistens sind schon alle gängigen Attribute als Kommentare vorhanden.
Es müssen nur die Attribute "einkommentiert" werden, die man selber verarbeiten will/muss.
Ansonsten werden diese vom Shibboleth-SP nicht ausgewertet und nicht der eigentlichen Applikation zur Verfügung gestellt.

Eine nähere Beschreibung der Attribut-Definitionen entnehmen Sie diesen PDF-Dokumenten:
Unter http://oid-info.com/ finden Sie weitere Attribute.
Schnittstelle zwischen Shibboleth und Webservice
```
<?php
	if( !isset($_SESSION) )
	{
		session_start();
	}
	$_SESSION["start_time"] = time();

	require_once(dirname(__FILE__) . "/../global/functions.php");

	$persID = apache_getenv("persistent-id");
	$epsa = apache_getenv("affiliation");
	$entitlement = apache_getenv("entitlement");

	if( $persID && isStudent($epsa) ) {
		...
	}
```
Um die vom IdP übergebenen und vom SP (attribute-map.xml) decodierten Attribute nun in die eigene Anwendung überführen zu können müssen verschiedene Ansätze betrachtet werden.

Will man lediglich eine Nutzerzuordnung erreichen ohne weitere Attribute zu verwenden, so bringen fertige Anwendungen oftmals bereits eine Schnittstelle mit, in der Sie einfach auf die REMOTE_USER-Variable zugreifen.
In diesem Fall genügt es das gewünschte Attribut in der Shibboleth-Config (shibboleth2.xml) auszuwählen.
Die Anwendung sollte nach erfolgreichem Login den Nutzer automatisch erkennen.

Gibt es jedoch solch eine definierte Schnittstelle nicht, handelt es sich gar um eigens geschriebene Anwendungen oder will man noch mehr Attribute auswerten, so kommt man nicht drum herum mehr Aufwand zu betreiben.
Je nach verwendeter Skriptsprache bieten sich unterschiedliche Varianten auf die Umgebungsvariablen des Apache (Webservers) zuzugreifen.

Unter PHP kann man dies durch die Funktion apache_getenv("attribute") realisieren.
Dabei gibt man den Namen des gewünschten Attributes an, wie dessen "id" in der Attribut-Map lautet.
Nun kann man z.B. auf einer individuellen "Start"- bzw. "Login"-Seite alle gewünschten Attribute auswerten, neue interne Berechtigungen berechnen und diese in die Anwendung überführen.

Seitenanfang

Logout-Hinweise

Das Thema Logout wird sehr oft vernachlässigt oder gar komplett vergessen, obwohl es mit eine wichtige Rolle im Context von Single-Sign-On spielt.
Leider ist es jedoch nicht so trivial und nur schwer allgemeingültig definierbar, da es bei jedem IdP und SP unterschiedlich implementiert sein kann.
Erschwerend kommt hinzu, dass bei diesem Vorgang u.a. die Grenzen der eigenen Institution überschritten werden und es oft auch andere Intentionen gibt, wie man damit umgehen möchte.

Im Prinzip gibt es 4 mögliche Szenarien:
1. der Nutzer wird nur beim aktuellen SP abgemeldet
2. der Nutzer wird beim aktuellen SP und beim IdP abgemeldet
3. der Nutzer wird bei allen SPs und beim IdP abgemeldet
4. der Nutzer wird nur beim IdP abgemeldet
Typischerweise entscheidet man bei der Konfiguration des SP lediglich zwischen folgenden 2 Anwendungsfällen:
1. soll der Nutzer nach dem Logout am SP verweilen? (Szenario 1 - "Local"-Logout)
2. soll der Nutzer an den IdP weitergeleitet werden, um sich auch wo anders abmelden zu können? (Szenarioe 2+3 - "SAML2"-Logout)
Konfigurieren Sie das gewünschte Verfahren, in dem Sie dieses an die "erste" Position in der Liste der unterstützen Verfahren stellen.
Es ist nicht empfehlenswert SAML2 komplett aus der Liste zu entfernen (auch wenn es nicht ihr favorisierter Weg ist), da Ihr SP diese Funktionalität sonst nicht unterstützt.
Logout-Versuche anderer SPs via SAML2 würden sonst fehlschlagen.
```

# vi /etc/shibboleth/shibboleth2.xml
...
<Logout>Local SAML2</Logout>
...
```
```

# vi /etc/shibboleth/shibboleth2.xml
...
<Logout>SAML2 Local</Logout>
...
```
Durch Aufruf der folgenden URL erreicht man die Einleitung des Logout:
https://ihr-sp.tu-dresden.de/Shibboleth.sso/Logout

Hinweis: Es wird "nur" die Session des SP gelöscht, eventuell vorhandene "anwendungsspezifische" Sessions müssen Sie separat entfernen.
Daher empfiehlt sich folgende Vorgehensweise bei den unterschiedlichen Verfahren:
"Local-Logout"
1. Aufruf der Logout-URL des SP mit dem return Parameter:
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Logout?return=https://ihr-sp.tu-dresden.de/app-specific-logout-url
  
  Dies bewirkt, dass zu erst die Session des Shibboleth SP beendet wird und der Nutzer nachher automatisch an die angegebene "return"-URL weitergeleitet wird.
2. Zerstören der eigenen Anwendungssitzung durch app-specific-logout-url-URL
3. Anzeige einer "Logout-Meldung" ähnlich folgender Vorgabe, da Nutzer noch am IdP etc. eingeloggt sein könnte:
```
>Sie haben sich erfolgreich auf dieser Seite abgemeldet.
>
>Hinweis:
>Aus Sicherheitsgründen empfehlen wir Ihnen, den Browser nach der Nutzung zu >schließen, da Sie unter Umständen noch an anderen Seiten angemeldet sein könnten.
>Dieser Hinweis gilt insbesondere dann, wenn Sie von einem öffentlichen Ort aus >zugreifen (z. B. Computer-Pool, Internet-Café).
```
"SAML2-Logout"
1. Zerstören der eigenen Anwendungssitzung durch app-specific-logout-url-URL
2. Aufruf der Logout-URL des SP :
  https://ihr-sp.tu-dresden.de/Shibboleth.sso/Logout
  
  Dies bewirkt, dass die Session des Shibboleth SP beendet wird und der Nutzer anschließend an die Logout-URL des IdP weitergeleitet wird.
3. Der IdP zeigt dem Nutzer eine "Liste aller Ihm bekannten Dienste", an denen er während seiner letzten Session eingeloggt war.
  Bestätigt der Nutzer diese, so sendet der IdP automatisch Logout-Anfragen via "SAML2" an die einzelnen SPs (Global-Logout).
  
  Anschließend beendet der IdP die Session des Nutzers und zeigt ihm eine "Logout-Meldung" inklusive Status-Übersicht der einzelnen Logout-Vorgänge an.

Seitenanfang

mehrere SPs parallel
```
# vi /etc/shibboleth/shibboleth2.xml
...
<ApplicationOverride id="other" entityID="https://other.zih.tu-dresden.de/shibboleth">
	<Sessions lifetime="28800" timeout="3600" relayState="ss:mem" checkAddress="false" consistentAddress="true" handlerSSL="true" cookieProps="https">
		<SSO entityID="https://idp3-test.tu-dresden.de/idp/shibboleth" discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF">
			SAML2 SAML1
		</SSO>
	</Sessions>

	<MetadataProvider type="XML" file="idp-metadata.xml"/>

	<CredentialResolver type="File" key="/etc/shibboleth/sp-key.pem" certificate="/etc/shibboleth/sp-cert.pem"/>
</ApplicationOverride>
...
```
Definieren Sie pro Shibboleth-SP einen "ApplicationOverride"-Block am Ende des "ApplicationDefaults"-Teil.

"id" -> beliebiger String zum Referenzieren der Einstellungen in der Apache-Config
"entityID" -> geben Sie hier eine andere Kennung für den SP an (als für den Default-SP)

Hinweis: Soll der neue SP lediglich eine andere "entityID" als der Standard-SP aufweisen, so sind keine weiteren Angaben im "ApplicationOverride" nötig.
Sollen sich die Nutzer jedoch gegen eine andere Heimateinrichtung authentifizieren, so müssen Sie wie im Beispiel gezeigt einen separaten "Sessions" und "SSO"-Block definieren.
Vergessen Sie nicht anzugeben, wo sich die "Metadaten" dieser Einrichtung befinden, falls Sie nicht bereits durch andere "MetadataProvider" abgedeckt werden.
Benutzt der neue SP ein anderes Zertifikat, so müssen Sie dieses ebenfalls noch angeben.

Angaben zu weiteren "Override"-Möglichkeiten können Sie dem Wiki unter NativeSPApplicationOverride entnehmen.
```
# vi /etc/apache2/vhosts.d/server.conf
...
NameVirtualHost *:443
...
<VirtualHost *:443 >
	ServerName ihr-sp.tu-dresden.de
...
	<Location /secure>
		AuthType shibboleth
		ShibRequestSetting requireSession 1
		require shib-session
	</Location>
...
</VirtualHost>
...
<VirtualHost *:443 >
	ServerName other.zih.tu-dresden.de
...
	<Location /something>
		ShibRequestSetting applicationId other

		AuthType shibboleth
		ShibRequestSetting requireSession 1
		require shib-session
	</Location>
...
</VirtualHost>
...
```
Bei SPs mit unterschiedlichen DNS-Namen definieren Sie zunächst jeweils einen "VirtualHost" wie im Beispiel gezeigt.
Hinweis: Achten Sie auf die Aktivierung von NameVirtualHost.

Anschließend definieren Sie mit "ShibRequestSetting" die neue "applicationId" die von der anderen Anwendung benutzt werden soll.
Somit werden für diese die Einstellungen aktiv, welche Sie zuvor im "ApplicationOverride" gesetzt haben.

Seitenanfang

Erweiterung Metadaten

SPs mit mehreren DNS-Namen

# vi /etc/shibboleth/Metadata/server-zih-metadata.xml
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://ihr-sp.tu-dresden.de/Shibboleth.sso/SAML2/POST" index="1"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://ihr-sp.tu-dresden.de/Shibboleth.sso/SAML2/POST-SimpleSign" index="2"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://ihr-sp.tu-dresden.de/Shibboleth.sso/SAML2/Artifact" index="3"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://ihr-sp.tu-dresden.de/Shibboleth.sso/SAML2/ECP" index="4"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" Location="https://ihr-sp.tu-dresden.de/Shibboleth.sso/SAML/POST" index="5"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:artifact-01" Location="https://ihr-sp.tu-dresden.de/Shibboleth.sso/SAML/Artifact" index="6"/>

<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://other.zih.tu-dresden.de/Shibboleth.sso/SAML2/POST" index="7"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://other.zih.tu-dresden.de/Shibboleth.sso/SAML2/POST-SimpleSign" index="8"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://other.zih.tu-dresden.de/Shibboleth.sso/SAML2/Artifact" index="9"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://other.zih.tu-dresden.de/Shibboleth.sso/SAML2/ECP" index="10"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" Location="https://other.zih.tu-dresden.de/Shibboleth.sso/SAML/POST" index="11"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:artifact-01" Location="https://other.zih.tu-dresden.de/Shibboleth.sso/SAML/Artifact" index="12"/>

Es sind zwingende Erweiterungen bezüglich der "AssertionConsumerService"-URLs (ACS) an den Metadaten notwendig!

Laden Sie sich zunächst die automatisch generierten Metadaten Ihres SP über die entsprechende URL herunter.
wget https://server-zih.tu-dresden.de/Shibboleth.sso/Metadata

Anschließend editieren Sie diese wie folgt:

Kopieren aller ACS-Zeilen.
Anpassen der Location-Blöcke an den zusätzlichen DNS
Erhöhen der Indizes (es darf kein Wert doppelt vorkommen!)
Die Bindings bleiben erhalten

Zusatzinfos zu Diensten

# vi /etc/shibboleth/Metadata/server-zih-metadata.xml
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" ID="_einesehrlangerandomid" entityID="https://ihr-sp.tu-dresden.de/shibboleth">
...
<md:SPSSODescriptor ...>
	<md:Extensions>
		...
		<mdui:UIInfo>
			<mdui:DisplayName xml:lang="de">Server ZIH</mdui:DisplayName>
			<mdui:DisplayName xml:lang="en">Server ZIH</mdui:DisplayName>
			<mdui:Description xml:lang="de">Portal für Angestellte und Studierende ...</mdui:Description>
			<mdui:Description xml:lang="en">Portal for employees and students ...</mdui:Description>
			<mdui:Logo height="15" width="16">https://ihr-sp.tu-dresden.de/images/pic.png</mdui:Logo>
			<mdui:Logo height="140" width="146">https://ihr-sp.tu-dresden.de/images/big_pic.png</mdui:Logo>
			<mdui:InformationURL xml:lang="de">https://ihr-sp.tu-dresden.de/</mdui:InformationURL>
			<mdui:InformationURL xml:lang="en">https://ihr-sp.tu-dresden.de/</mdui:InformationURL>
			<mdui:PrivacyStatementURL xml:lang="de">https://ihr-sp.tu-dresden.de/impressum</mdui:PrivacyStatementURL>
			<mdui:PrivacyStatementURL xml:lang="en">https://ihr-sp.tu-dresden.de/impressum</mdui:PrivacyStatementURL>
		</mdui:UIInfo>
	</md:Extensions>
	...
	<AttributeConsumingService index="1">
		<RequestedAttribute FriendlyName="eduPersonScopedAffiliation" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
		<RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
	</AttributeConsumingService>
...
</md:SPSSODescriptor>
<md:Organization>
	<md:OrganizationDisplayName xml:lang="de">Technische Universität Dresden</md:OrganizationDisplayName>
	<md:OrganizationDisplayName xml:lang="en">Technische Universität Dresden</md:OrganizationDisplayName>
	<md:OrganizationURL xml:lang="de">http://www.tu-dresden.de</md:OrganizationURL>
	<md:OrganizationURL xml:lang="en">http://www.tu-dresden.de</md:OrganizationURL>
</md:Organization>
<md:ContactPerson contactType="administrative">
	<md:GivenName>Max</md:GivenName>
	<md:SurName>Mustermann</md:SurName>
	<md:EmailAddress>mailto:max.mustermann@tu-dresden.de</md:EmailAddress>
</md:ContactPerson>
<md:ContactPerson contactType="technical">
	<md:GivenName>Petra</md:GivenName>
	<md:SurName>Petersen</md:SurName>
	<md:EmailAddress>mailto:max.mustermann@tu-dresden.de</md:EmailAddress>
</md:ContactPerson>
<md:ContactPerson contactType="support">
	<md:GivenName>Service</md:GivenName>
	<md:SurName>Desk</md:SurName>
	<md:EmailAddress>mailto:servicedesk@tu-dresden.de</md:EmailAddress>
</md:ContactPerson>
...

Zum Erweitern der Metadaten mit Zusatz-Infos die dem Nutzer beim Login angezeigt werden muss das XML-Schema im EntityDescriptor angegeben werden:
xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"

- Displayname (DE)
- Displayname (EN)
==> Prägnante Bezeichnung des Dienstes, die dem Nutzer beim Login angezeigt wird.

- Description (DE)
- Description (EN)
==> Kurze Beschreibung des Dienstes, worum es sich bei der Zielseite handelt.

- Logo (klein)
- Logo (groß)
==> Link / URL zum Logo des Dienstes, welches auf der Login-Seite angezeigt wird.

Vorgaben und Empfehlungen:
Logo muss als "https" URL angegeben werden
Logo klein sollte eine Größe von 16 mal 16 Pixel haben
Logo groß sollte zw. 64 und 146 Pixel hoch und 64 bis 350 Pixel breit sein (am Besten Transparenter Hintergrund)

- InformationURL (DE)
- InformationURL (EN)
==> Link / URL zu einer Seite, die weitere Informationen zum Dienst enthält.

- PrivacyStatementURL (DE)
- PrivacyStatementURL (EN)
==> Link / URL zu einer Seite, die Informationen zum Datenschutz enthält.

- RequestedAttribute
==> Auflistung der Attribute, welche durch den Dienst verarbeitet werden können (inkl. Angabe ob diese "required" sind).

- ContactPerson (administrative, technical, support)
==> Vorname, Name und E-Mail Adresse der jeweiligen Kontakt-Person

Hinweis:
Es ist zulässig ein- und dieselbe Person für administrativen und technischen Kontakt zu benennen.

NEU:
Statt die Angaben direkt in der Metadatan-XML einzutragen, können diese auch in der shibboleth2.xml beim MetadataGenerator-Handler hinterlegt werden.
So landen diese nach einem Neustart des shibd automatisch in der Metadaten-XML und müssen nicht jedes mal erneut von Hand eingefügt werden wenn es zum Metadaten-Austausch kommen sollte.
Dies verringert auch das Risiko dies komplett zu vergessen ;-)

# vi /etc/shibboleth/shibboleth2.xml
<SPConfig xmlns="urn:mace:shibboleth:3.0:native:sp:config"
	xmlns:conf="urn:mace:shibboleth:3.0:native:sp:config"
	xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
	xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"
	clockSkew="180">
	...
	<ApplicationDefaults ...>
		<Sessions ...>
			...
			<!-- Extension service that generates "approximate" metadata based on SP configuration. -->
			<Handler type="MetadataGenerator" Location="/Metadata" signing="false">
				<mdui:UIInfo>
					<mdui:DisplayName xml:lang="de">Server ZIH</mdui:DisplayName>
					<mdui:DisplayName xml:lang="en">Server ZIH</mdui:DisplayName>
					<mdui:Description xml:lang="de">Portal für Angestellte ...</mdui:Description>
					<mdui:Description xml:lang="en">Portal for employees ...</mdui:Description>
					<mdui:Logo height="15" width="16">https://ihr-sp.tu-dresden.de/images/pic.png</mdui:Logo>
					<mdui:Logo height="140" width="146">https://ihr-sp.tu-dresden.de/images/big_pic.png</mdui:Logo>
					<mdui:InformationURL xml:lang="de">https://ihr-sp.tu-dresden.de/</mdui:InformationURL>
					<mdui:InformationURL xml:lang="en">https://ihr-sp.tu-dresden.de/</mdui:InformationURL>
					<mdui:PrivacyStatementURL xml:lang="de">https://ihr-sp.tu-dresden.de/impressum</mdui:PrivacyStatementURL>
					<mdui:PrivacyStatementURL xml:lang="en">https://ihr-sp.tu-dresden.de/impressum</mdui:PrivacyStatementURL>
				</mdui:UIInfo>

				<md:AttributeConsumingService index="1">
					<md:ServiceName xml:lang="de">Server ZIH</md:ServiceName>
					<md:ServiceName xml:lang="en">Server ZIH</md:ServiceName>
					<md:ServiceDescription xml:lang="de">Portal für Angestellte ...</md:ServiceDescription>
					<md:ServiceDescription xml:lang="en">Portal for employees ...</md:ServiceDescription>
					<md:RequestedAttribute FriendlyName="eduPersonScopedAffiliation" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
					<md:RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
				</md:AttributeConsumingService>

				<md:Organization>
					<md:OrganizationName xml:lang="de">TU Dresden</md:OrganizationName>
					<md:OrganizationName xml:lang="en">TU Dresden</md:OrganizationName>
					<md:OrganizationDisplayName xml:lang="de">Technische Universität Dresden</md:OrganizationDisplayName>
					<md:OrganizationDisplayName xml:lang="en">Technische Universität Dresden</md:OrganizationDisplayName>
					<md:OrganizationURL xml:lang="de">https://www.tu-dresden.de</md:OrganizationURL>
					<md:OrganizationURL xml:lang="en">https://www.tu-dresden.de</md:OrganizationURL>
				</md:Organization>

				<md:ContactPerson contactType="support">
					<md:GivenName>Service</md:GivenName>
					<md:SurName>Desk</md:SurName>
					<md:EmailAddress>servicedesk@tu-dresden.de</md:EmailAddress>
				</md:ContactPerson>

				<md:ContactPerson contactType="technical">
					<md:GivenName>Technischer</md:GivenName>
					<md:SurName>Ansprechpartner</md:SurName>
					<md:EmailAddress>techniker@tu-dresden.de</md:EmailAddress>
				</md:ContactPerson>

				<md:ContactPerson contactType="administrative">
					<md:GivenName>Adminstrativer</md:GivenName>
					<md:SurName>Ansprechpartner</md:SurName>
					<md:EmailAddress>admin@tu-dresden.de</md:EmailAddress>
				</md:ContactPerson>
			</Handler>
			...

Seitenanfang

Zertifikats-Austausch / Key-Rollover

Shibboleth verwendet Zertifikate u.a. zum Signieren und Ver- / Entschlüsseln während der Kommunikation zwischen SP und IdP.
Da Zertifikate nur eine beschränkte Gültigkeitsdauer besitzen, so müssen diese in regelmäßigen Abständen ersetzt werden.
Leider gestaltet sich das Vorgehen hier nicht so trivial wie beim Tausch eines reines Webserver-Zertifikates, auch dann nicht wenn Shibboleth das gleiche Zertifikat nutzt wie der eigentliche Webserver.

Folgendes Bild aus der Anleitung der Switch-AAI skizziert den etwas komplexeren Ablauf ganz gut.

Die nötigen Schritte können / müssen so auch bei lokalen SPs (SPs die nicht in einer Föderation sind und nur lokal an einem IdP konfiguriert wurden) beachtet werden.

Ihr vorgehen gestaltet sich nun wie folgt:
1. Neues Zertifikat im SP eintragen
```
# vi /etc/shibboleth/shibboleth2.xml
<CredentialResolver type="Chaining">
	
	<CredentialResolver type="File" keyName="Active" key="/etc/apache2/ssl.key/oldkey.pem" certificate="/etc/apache2/ssl.crt/oldcert.pem"/>
	
	<CredentialResolver type="File" keyName="Passive" key="/etc/apache2/ssl.key/newkey.pem" certificate="/etc/apache2/ssl.crt/newcert.pem"/>
</CredentialResolver>
```
  Beachten Sie das neue Zertifikat nach dem alten einzufügen!
  
  Anschließend den Shibd neustarten.
  systemctl restart shibd
2. Neue Metadaten verteilen
  
  Laden Sie sich die neuen Metadaten Ihres SP über die entsprechende URL herunter.
  wget https://server-zih.tu-dresden.de/Shibboleth.sso/Metadata
  
  Nun senden Sie diese samt einem kurzen Anschreiben per E-Mail an den Service Desk.
  Wir kümmern uns dann darum die Metadaten bei uns lokal am IdP und wenn nötig auch beim DFN in der AAI einzutragen.
  
  Bevor Sie fortfahren warten Sie bitte bis wir Ihnen Bescheid geben, dass die Änderungen getätigt wurden.
  Andernfalls kann eine unterbrechungsfreie Diensterbringung nicht gewährleistet werden.
3. Neues Zertifikat aktivieren
```
# vi /etc/shibboleth/shibboleth2.xml
<CredentialResolver type="Chaining">
	
	<CredentialResolver type="File" keyName="Active" key="/etc/apache2/ssl.key/newkey.pem" certificate="/etc/apache2/ssl.crt/newcert.pem"/>
	
	<CredentialResolver type="File" keyName="Passive" key="/etc/apache2/ssl.key/oldkey.pem" certificate="/etc/apache2/ssl.crt/oldcert.pem"/>
</CredentialResolver>
```
  Nun ändern Sie die Reihenfolge, so dass das neue Zertifikat an erster Stelle steht.
  
  Anschließend den Shibd wieder neustarten.
  systemctl restart shibd
  
  Wenn Sie für den Webserver das gleiche Zertifikat nutzen, so können Sie dieses nun ersetzen.
  Informationen finden Sie unter dem Abschnitt Apache anpassen.
4. Nochmals neue Metadaten verteilen
  
  Laden Sie sich die neuen Metadaten Ihres SP erneut über die entsprechende URL herunter.
  wget https://server-zih.tu-dresden.de/Shibboleth.sso/Metadata
  
  Antworten Sie auf das zuvor beim Service Desk erstellte Ticket und schicken Sie uns erneut die neuen Metadaten.
  Wir kümmern uns wieder darum die Metadaten bei uns lokal am IdP und wenn nötig beim DFN in der AAI einzutragen.
  
  Bevor Sie fortfahren warten Sie bitte wieder bis wir Ihnen Bescheid geben, dass die Änderungen getätigt wurden.
  Andernfalls kann es auch beim letzten Schritt wieder zu Problemen bei einer unterbrechungsfreien Diensterbringung führen.
5. Altes Zertifikat deaktivieren
```
# vi /etc/shibboleth/shibboleth2.xml
<CredentialResolver type="Chaining">
	
	<CredentialResolver type="File" keyName="Active" key="/etc/apache2/ssl.key/newkey.pem" certificate="/etc/apache2/ssl.crt/newcert.pem"/>
</CredentialResolver>
```
  Jetzt können Sie das alte Zertifikat endgültig entfernen.
  
  Anschließend den Shibd neustarten und Sie sind fertig :-) .
  systemctl restart shibd

Seitenanfang

f) FAQ / Common Errors

FAQ Alle aus-/einklappen
- Wie wechsel ich meinen Benutzer wenn ich eingeloggt bin? (z.B. zusätzlicher Funktionsaccount)
  
  Melden Sie sich zunächst am SP ab.
  Bietet dieser keinen Logout-Button (was so gut wie nicht vorkommen sollte, aber dennoch ab und an der Fall ist), so rufen Sie in Ihrem Browser einfach folgende URL auf:
  https://your-sp/Shibboleth.sso/Logout
  
  Im Anschluss greifen Sie einfach erneut auf den SP zu, wodurch Sie wieder an den IdP weitergeleitet werden sollten, um sich zu authentifizieren.
  Unterstützt Ihr SP SAML2-Logout, so sollten Sie auch am IdP ausgeloggt sein und dieser Sie nach Ihren Zugangsdaten fragen.
  Hier können Sie nun Ihren Funktionsaccount benutzen.
  
  Sollte Ihre Session am IdP aber noch vorhanden sein, so zeigt Ihnen der IdP statt der Eingabemaske bereits Ihre persönlichen Daten, welche an den SP weitegeleitet werden würden.
  In diesem Fall drücken Sie einfach statt auf "Bestätigen", auf "Logout".
  Ihre Session wird am IdP beendet und durch einen erneuten Aufruf vom SP können Sie sich nun auch am IdP mit dem anderen Account einloggen.
- Einloggen OHNE SSO? oder Ich möchte nicht, dass meine Session am IdP gespeichert wird!
  
  Setzen Sie bei der Authentifizierung am IdP einfach den Haken in dem Login-Formular bei "Anmeldung nicht speichern".
  In diesem Fall wird Ihre Session NICHT gespeichert und Sie müssen sich automatisch neu einloggen, wenn Sie z.B. auf einen weiteren SP zugreifen wollen.
  Sie können diese Entscheidung bei jedem Login-Vorgang erneut überdenken und ändern.
- Rotes Kreuz beim Status nach dem Logout am IdP.
  
  Dies bedeutet, dass der IdP den Logout am betroffenen SP nicht erfolgreich abschließen konnte.
  Das kann mehrere Ursachen haben:
  1) der SP unterstützt kein SAML2-Logout bzw. hat dieses nicht konfiguriert
  2) der SP konnte z.B. auf Grund eines Netzwerkproblemes nicht erreicht werden
  3) am SP existierte keine gültige Session mehr für Sie
Common Errors Alle aus-/einklappen
- Es kommen keine Attribute am SP an und Sie werden am IdP NICHT angezeigt!
  
  Dies kann unter anderem folgende zwei Ursachen haben:
  1) Am IdP wurden noch keine Freigaben für Ihren SP getätigt, wodurch an Ihren SP keine personenbezogenen Daten herausgegeben werden.
  2) Der Nutzer, welcher sich eingeloggt hat, enthält einen fehlerhaften Datensatz im IDM, wodurch der IdP die Attribut-Ermittlung /-auflösung abbricht und den Nutzer ohne Daten weiterleitet.
- Es kommen keine Attribute am SP an aber Sie werden am IdP angezeigt!
  
  Dies kann unter anderem folgende zwei Ursachen haben:
  1) Sie haben vergessen die "attribute-map.xml" anzupassen, wodurch die Attribute vom SP nicht ausgewertet und somit nicht dem Apache als Umgebungsvariablen zur Verfügung gestellt werden.
  2) Sie verwenden ein anderes Zertifikat als in dem IdP vorliegenden Metadaten angegeben, wodurch Ihr SP die Antwort des IdP nicht entschlüsseln kann.

Weitere bekannte Fehler finden Sie direkt beim Hersteller beschrieben.

Seitenanfang

5. Entwicklung an der TU

a) Vergangenheit

2007
- Einführung Shibboleth (lediglich 1 Dienst, OPAL)
- Basic-Auth (ohne Benutzeroberfläche)
- Quellsystem DUMAS (wenig Nutzerdaten, nicht immer aktuell)
2012
- Erweiterung um Benutzeroberfläche (als Dienst der TU erkennbar)
- Erweiterung um uApprove (Zustimmung des Nutzers, Datenschutz)
- Umstellung Quellsystem auf IDM (mehr Nutzerdaten, immer aktuell)
- Aufnahme in die DFN-AAI
- Erhöhung Ausfallsicherheit (Redundanz)
2013
- Anbindung / Umstellung weiterer Dienste (lokal + förderativ)
- Bereitstellung eines Testsystems
2014 (Stand 24.09.2014)
- 12 konfigurierte lokale SPs
  - z.B.: ZIH-Wiki, dyPort, Dresden Concept, ...
- 7 konfigurierte förderative SPs
  - z.B.: OPAL, Microsoft Store, Gigamove, DFN Videoconference, ...
- ~4.6t Logins pro Tag / ~1.6m Logins pro Jahr / 49 genutzte Dienste
- Attribute: alle vorhandenen Eigenschaften innerhalb des IDM
- Nutzerkreis: alle Angehörigen mit einem gültigen ZIH-Login
- Bereitstellung eines Sibboleth-IdP für die HTW
2015 (Stand 18.12.2015)
- 19 konfigurierte lokale SPs
  - z.B.: CampusNavigator, Nachsendeportal, ...
- 9 konfigurierte förderative SPs
  - z.B.: Campus Sachsen, ...
- ~6t Logins pro Tag / ~2.2m Logins pro Jahr / 60 genutzte Dienste
- Dienste innerhalb des DFN anbieten (auch für externe zugänglich)
2017 (Stand 19.05.2017)
- 37 konfigurierte lokale SPs
  - z.B.: Selfservice, TUD-Webcms, Fusionforge, Sharepoint, ...
- 22 konfigurierte förderative SPs
  - z.B.: eLearning, Gaus-Allianz, Opara, Gitlab, Moodle, ...
- ~7.5t Logins pro Tag / ~2.5m Logins pro Jahr / 100 genutzte Dienste
- Umstellung von IdP V2 auf IdP V3
- Möglichkeit zum Single-Logout
- Sperrung von Funktions-Account für externe Dienste
2018 (Stand 16.05.2018)
- 42 konfigurierte lokale SPs
  - z.B.: SAP, TKDB, Vampir, ...
- 26 konfigurierte förderative SPs
  - z.B.: Box HU Berlin, SC Computing, ...
- ~9t Logins pro Tag / ~3.3m Logins pro Jahr / 116 genutzte Dienste
- Aufnahme in EduGain
- Möglichkeit zur User-Deprovisionierung

Seitenanfang

b) Aktueller Stand / Zukunft

2019 (Stand 22.02.2019)
- 43 konfigurierte lokale SPs
  - z.B.: OTRS, JupyterHub, Berufungsportal, Sharelatex, ...
- 30 konfigurierte förderative SPs
  - z.B.: Unity, ResearchConnect, SketchEngine, Mathworks, ...
- ~11t Logins pro Tag / ~4m Logins pro Jahr / ~190 genutzte Dienste
Zukunft
- 1 Login für alle Dienste (Umstellung der meisten Webdienste)
- Speicherung der Zustimmung zur Attribut-Freigabe (keine erneute Abfrage bei jedem Login)

Seitenanfang

6. DFN-AAI Förderation

AAI = Authentifizierungs- und Autorisierungs-Infrastruktur
Förderation = Zusammenschluss von Einrichtungen und Anbietern
deutschlandweiter Dienst des DFN Vereins seit Oktober 2007
- zentraler, technischer Betrieb (WAYF, Testumgebung, Web-Portal mit Informationen)
- Erstellen von Richtlinien für die Mitgliedschaft, Vertragsgestaltung und Vertragsabschluss, zentraler Vertragspartner für Teilnehmer
- übernimmt keine Lizenzverträge zwischen Einrichtungen und Anbietern
- Teilnahme an der DFN-PKI (Verschlüsselung über Zertifikate)
- Einführung von 3 Verlässlichkeitsklassen in der DFN-AAI

Warum unterschiedliche Verlässlichkeitsklassen

Unterschiedlicher Schutzbedarf für SPs

Unterschiedliche Anforderungen an die IdPs

Klasse	Identifizierung	Authentifizierung	Qualität des IDM
Test	Verfahren freigestellt	Verfahren freigestellt	Verfahren freigestellt
Basic	eindeutige Adresse (E-Mail, Postanschrift, etc.)	eindeutige digitale Adresse	Verpflichtung bzgl. Aktualität von 3 Monaten
advanced	pers. Vorsprechen unter Vorlage amtlicher Dokumente	pers. Account bzw. digitales Zertifikat	Verpflichtung bzgl. Aktualität von 2 Wochen

Seitenanfang

7. Links / Dokumentation

Seitenanfang

Shibboleth - Single Sign On (SSO) - Dokumentation

Eine neue Schnittstelle zur Anbindung an das IDM

1. Einführung

a) Was ist Shibboleth?

b) Wofür wird es genutzt?

2. Aufbau + Funktion

a) Welche Bestandteile gibt es?

b) Wie funktioniert es?

3. Warum Shibboleth?

a) Alternativen

b) Welche Vorteile bringt Shibboleth?

4. Anbindung / Umsetzung

a) Voraussetzungen

b) Beantragung

c) Installation

d) Konfiguration

e) Sonstiges

f) FAQ / Common Errors

5. Entwicklung an der TU

a) Vergangenheit

b) Aktueller Stand / Zukunft

6. DFN-AAI Förderation

7. Links / Dokumentation