zur Startseite
Sie befinden sich im Service Identity Management
Allgemeine Infos
RWTH Single Sign-On (via Shibboleth)
IT Center Help

Sie befinden sich im Service: Identity Management

Pilot Konfiguration von Multifaktor-Authentifizierung
Seite ausdrucken

Pilot Konfiguration von Multifaktor-Authentifizierung

Detailinformation

MFA für die ganze Applikation 

 

Hinweis

Als Service Provider können Sie Multifaktor-Authentifizierung (MFA) für Ihre Anwendungen konfigurieren.
 
Bitte beachten Sie: Wenn Sie MFA für eine Anwendung aktivieren, müssen alle Nutzenden sich über MFA in der Anwendung authentifizieren.
 
Bitte informieren Sie die Nutzenden frühzeitig darüber, dass die Einrichtung von einem MFA-Token zwingend notwendig ist.

Konfiguration in Shibboleth

In der Datei /etc/shibboleth/shibboleth2.xml (Standard bei RHEL kompatiblen Systemen) folgende Bereiche eintragen/erweitern:

Option 1: Im SSO Element

<SSO entityID="https://login.rz.rwth-aachen.de/shibboleth"

     authnContextClassRef="https://refeds.org/profile/mfa">

     SAML2

</SSO>

Dafür kann das SSO Element in <ApplicationDefaults>  genutzt werden, dann gilt es für alle konfigurierten Service Provider (globale EInstellung) oder es kann in einem <ApplicationOverride> definiert werden (dann gilt es für einen spezifischen Service Provider).

Option 2: Im RequestMapper (benötigt, wenn ApplicationOverrides aktiv sind)

Änderungen im Path:

<RequestMapper type="Native">

  <RequestMap applicationId="default">

    <Host name="example.com">

      <Path name="secure" authnContextClassRef="https://refeds.org/profile/mfa" authType="shibboleth" requireSession="true" />

    </Host>

  </RequestMap>

</RequestMapper>

Hier spielt das authnContextClassRef  die entscheidende Rolle.

Änderungen im Host:

<RequestMapper type="Native">

  <RequestMap applicationId="default">

    <Host name="example.com" authnContextClassRef="https://refeds.org/profile/mfa" authType="shibboleth" requireSession="true"/>

  </RequestMap>

</RequestMapper>

Erweiterte MFA Konfiguration

Sollen noch weitere Bedingungen, wie bestimmte Attribut Werte, Hostnamen oder Adressen geprüft werden, oder es soll sogar Fall Unterscheidungen geben, so werden die Anpassung im Apache vorgenommen.

Konfiguration Apache ab 2.4

AuthType shibboleth

ShibRequestSetting requireSession true

   

<RequireAll>

    Require authnContextClassRef https://refeds.org/profile/mfa

    Require shib-session

</RequireAll>

Konfiguration Apache < 2.4

AuthType shibboleth

ShibRequestSetting requireSession true

ShibRequireAll on

ShibCompatWith24 on

   

Require authnContextClassRef https://refeds.org/profile/mfa

Require shib-session

Beispiel: Alle aus dem RWTH Netz brauchen keine MFA, andere Netze hingegen schon

Konfiguration Apache ab 2.4:

AuthType shibboleth

ShibRequestSetting requireSession true

 

<RequireAny>

  Require Host rwth-aachen.de

  <RequireAll>

    Require authnContextClassRef https://refeds.org/profile/mfa

    Require shib-session

  </RequireAll>

</RequireAny>

Step Up Authentication

Wenn Sie die Step Up Authentication nutzen, definieren Sie in der shibboleth2.xml einen weiteren Service Provider. Dieser muss auch am RWTH Single Sign-On registriert werden. Dazu senden Sie bitte eine Mail an servicedesk@itc.rwth-aachen.de mit der RFC ID und den Link zu den weiteren Metadaten.

Wenn MFA nur für bestimmte Bereiche einer Anwendung gelten sollen, so muss folgendes für jeden Pfad, der mit MFA geschützt sein soll, konfiguriert werden:

Konfiguration Shibboleth

In der Datei /etc/shibboleth/shibboleth2.xml anpassen:

Im RequestMapper:

<RequestMapper type="Native">

    <RequestMap>

       <Host name="example.com">

           <Path name="stepup" applicationId="stepup2f"

                 authnContextClassRef="https://refeds.org/profile/mfa" />

       </Host>

   </RequestMap>

</RequestMapper>

ApplicatonOverride:

<ApplicationOverride id="stepup2f" entityID="https://example.com/stepup2f/shibboleth2">

        <Sessions lifetime="7200" timeout="900" checkAddress="false"

            handlerURL="/stepup/Shibboleth.sso" handlerSSL="true" cookieProps="https">

                <SessionInitiator type="Chaining" Location="/Login" isDefault="true"

                    relayState="cookie" entityID="https://login.rz.rwth-aachen.de/shibboleth">

                    <SessionInitiator type="SAML2" acsIndex="1" template="bindingTemplate.html" />

                    <SessionInitiator type="Shib1" acsIndex="5" forceAuthn="true"/>

                </SessionInitiator>

        </Sessions>

</ApplicationOverride>

Konfiguration Apache >2.4

AuthType shibboleth

ShibRequestSetting requireSession true

ShibRequestSetting applicationId stepup2f

   

<RequireAll>

    Require authnContextClassRef https://refeds.org/profile/mfa

    Require shib-session

</RequireAll>

Konfiguration Apache <2.4

AuthType shibboleth

ShibRequestSetting requireSession true

ShibRequestSetting applicationId stepup2f

ShibRequireAll on

ShibCompatWith24 on

   

Require authnContextClassRef https://refeds.org/profile/mfa

Require shib-session

zuletzt geändert am 30.05.2023

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Chat