</Host>
</RequestMap>
</RequestMapper>
Hier spielt das authnContextClassRef
die entscheidende Rolle.
Änderungen im Host:
<RequestMapper type="Native"> <RequestMap applicationId="default"> <Host name="example.com" authnContextClassRef="https://refeds.org/profile/mfa" authType="shibboleth" requireSession="true"/> </RequestMap> </RequestMapper> |
Erweiterte MFA Konfiguration
Sollen noch weitere Bedingungen, wie bestimmte Attribut Werte, Hostnamen oder Adressen geprüft werden, oder es soll sogar Fall Unterscheidungen geben, so werden die Anpassung im Apache vorgenommen.
Konfiguration Apache ab 2.4
AuthType shibboleth ShibRequestSetting requireSession true
<RequireAll> Require authnContextClassRef https://refeds.org/profile/mfa Require shib-session </RequireAll> |
Konfiguration Apache < 2.4
AuthType shibboleth ShibRequestSetting requireSession true ShibRequireAll on ShibCompatWith24 on
Require authnContextClassRef https://refeds.org/profile/mfa Require shib-session |
Beispiel: Alle aus dem RWTH Netz brauchen keine MFA, andere Netze hingegen schon
Konfiguration Apache ab 2.4:
|
Step Up Authentication
Wenn Sie die Step Up Authentication nutzen, definieren Sie in der shibboleth2.xml einen weiteren Service Provider. Dieser muss auch am RWTH Single Sign-On registriert werden. Dazu senden Sie bitte eine Mail an servicedesk@itc.rwth-aachen.de mit der RFC ID und den Link zu den weiteren Metadaten.
Wenn MFA nur für bestimmte Bereiche einer Anwendung gelten sollen, so muss folgendes für jeden Pfad, der mit MFA geschützt sein soll, konfiguriert werden:
Konfiguration Shibboleth
In der Datei /etc/shibboleth/shibboleth2.xml
anpassen:
Im RequestMapper:
<RequestMapper type="Native"> <RequestMap> <Host name="example.com"> <Path name="stepup" applicationId="stepup2f" authnContextClassRef="https://refeds.org/profile/mfa" /> </Host> </RequestMap> </RequestMapper> |
ApplicatonOverride:
<ApplicationOverride id="stepup2f" entityID="https://example.com/stepup2f/shibboleth2"> <Sessions lifetime="7200" timeout="900" checkAddress="false" handlerURL="/stepup/Shibboleth.sso" handlerSSL="true" cookieProps="https"> <SessionInitiator type="Chaining" Location="/Login" isDefault="true" relayState="cookie" entityID="https://login.rz.rwth-aachen.de/shibboleth"> <SessionInitiator type="SAML2" acsIndex="1" template="bindingTemplate.html" /> <SessionInitiator type="Shib1" acsIndex="5" forceAuthn="true"/> </SessionInitiator> </Sessions> </ApplicationOverride> |
Konfiguration Apache >2.4
AuthType shibboleth ShibRequestSetting requireSession true ShibRequestSetting applicationId stepup2f
<RequireAll> Require authnContextClassRef https://refeds.org/profile/mfa Require shib-session </RequireAll> |
Konfiguration Apache <2.4
AuthType shibboleth ShibRequestSetting requireSession true ShibRequestSetting applicationId stepup2f ShibRequireAll on ShibCompatWith24 on
Require authnContextClassRef https://refeds.org/profile/mfa Require shib-session |