Versions Compared

Old Version 28

changes.mady.by.user Fredrik Domeij

Saved on

compared with

New Version Current

changes.mady.by.user Fredrik Domeij

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

TillitsnivåIdentifierare2Motsvarar grundkrav för användareAutentisieringskravAutentiseringskrav
RAF IAP Lowhttps://refeds.org/assurance/IAP/lowSWAMID AL11-faktors- eller multifaktorinloggning3
RAF IAP Medium

https://refeds.org/assurance/IAP/medium
https://refeds.org/assurance/profile/cappuccino

SWAMID AL21-faktors- eller multifaktorinloggning3
RAF IAP High

https://refeds.org/assurance/IAP/high
https://refeds.org/assurance/profile/espresso

SWAMID AL31-faktors- eller multifaktorinloggning3

...

I REFEDS Assurance Framework finns inget krav på att en identitetsutgivare granskas innan de får använda tillitssignalering och därför går det inte att i metadata se vad en identitetsutgivare är godkänd för men användarens uppgivna tillitsnivå finns i attributet eduPersonAssurance.

Särskilda

...

autentiseringskrav i inloggningsbegäran

  1. Om multifaktorinloggning krävs: Inom SWAMID används signalering enligt REFEDS Multi-Factor Authentication Profile (REFEDS MFA). Begär att multifaktorinloggning används genom att i attributet RequestedAuthnContext ange värdet https://refeds.org/profile/mfa i Authentication Request.
  2. Om Single Sign-On inte får användas: Begär att ny inloggning används genom att i attributet ForceAuthn ange värdet true i Authentication Request.
    • För att åsidosättande av Single Sign-On ska fungera korrekt måste alla godkända inloggningsmetoder vara definierade i attributet RequestedAuthnContext, t.ex. https://refeds.org/profile/mfahttps://refeds.org/profile/sfa och urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport för både multifaktor- och singelfaktorinloggning. Vissa identitetsutgivarprogramvaror kan luta sig tillbaka på operativsysteminloggningen om det inte explicit pekas ut vilka inloggningsmetoder som är godkända.

...

I konfigurationen för Apache finns det flera sätt att aktivera inloggning med Shibboleth och det beskrivs inte här, se 1.2 Configuring Apache Web Server to use Shibboleth för ett exempel. Autentisieringsinställningar Autentiseringsinställningar i via location-objektet beskrivs nedan.

...

Det är möjligt att anpassa den generella felsidan för Shibboleth SP så att den visar ett bra felmeddelande istället för det generella som är inbyggt i Shibboleth SP, se Errors - Shibboleth Service Provider 3. Det är även möjligt att använda ett passiv, eller lazy, modell för inloggning men då krävs att applikationen både hanterar autentisieringsbegäran autentiseringsbegäran och autentisieringskontrollen autentiseringskontrollen i applikationen istället för att låta standardmekanismerna göra det men det beskrivs inte på denna wikisida.

...