Versions Compared

Old Version 14

changes.mady.by.user Fredrik Domeij

Saved on

compared with

New Version 15

changes.mady.by.user Fredrik Domeij

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Om det inte är möjligt att anpassa applikationen för krav på AL2-inloggning går det att konfigurera Shibboleth Service Provider för att kontrollera detta.

Idén är att en mellansida införs i inloggningsflödet som kontrollerar tillitsnivå på användaren innan användaren vidarebefordras till den egentliga applikationen. Shibboleth konfigureras också för att kräva AL2 för inloggningssidan i applikationen. Felhantering läggs in så att användare kan ges varning innan kravet aktiveras, och fel när kravet finns på plats, med errorURL för att hänvisa obekräftade användare till inloggningstjänstens hjälpsidor för bekräftelse av konto.

draw.io Diagram
bordertrue
diagramNameLogin flow
simpleViewerfalse
width
linksauto
tbstyletop
lboxtrue
diagramWidth601
revision2

Konfigurationen består av dessa delar:

...

Se 3.3 Configure Shibboleth SP - Check for Identity Assurance or REFEDS SIRTFI för konfigurering av Meta-Assurance-Certification i Shibboleth så att assurance, Meta-Assurance-Certification, errorURL och registrationAuthority finns tillgängliga.

...

Code Block
languagexml
titleshibboleth2.xml
linenumberstrue
<SPConfig...
  <RequestMapper type="Native">
    <RequestMap>
      <Host name="confluence.its.umu.se">
        <Path name="confluence">
          <AccessControl>
            <OR>
              <!-- Allow non-authenticated sessions (Confluence protects all of /confluence/ using Shibboleth) -->
              <NOT>
                <Rule require="valid-user" />
              </NOT>
              <!-- Allow SWAMID AL2 sessions from IdP:ns without SWAMID -->
              <AND>
                <Rule require="assurance">http://www.swamid.se/policy/assurance/al2</Rule>
                <Rule require="Meta-Assurance-Certification">http://www.swamid.se/policy/assurance/al2</Rule>
                <Rule require="Meta-registrationAuthority">http://www.swamid.se/</Rule>
              </AND>
               <!-- Allow REFEDS RAF medium sessions from IdP:s outside of SWAMID -->
               <AND>
                <Rule require="assurance">https://refeds.org/assurance/IAP/medium</Rule>
                <Rule require="assurance">https://refeds.org/assurance/ID/eppn-unique-no-reassign</Rule>
                <NOT>
                  <Rule require="Meta-registrationAuthority">http://www.swamid.se/</Rule>
                </NOT>
              </AND>
            </OR>
          </AccessControl>
        </Path>
      </Host>
    </RequestMap>
  </RequestMapper>
  <ApplicationDefaults...
    <Sessions...
    <Errors ...
      access="accessError.html"
    />
  ...
  </ApplicationDefaults
  ...
</SPConfig>

...