Odebrání podpory pro SAML 1.1

SimpleSAMLphp verze 2.0 ukončilo podporu pro protokol SAML 1.1 a podporuje už pouze SAML 2.0, což může způsobovat problémy s přihlášením. Níže jsou uvedeny kroky k odstranění podpory pro SAML 1.1 z Shibboleth IdP a tedy opravě přihlašování ke službám využívajícím SimpleSAMLphp 2+.

S velmi vysokou pravděpodobností IdP, které dnes provozujete, zejména pokud průběžně aktualizujete, stejně SAML 1.1 nepodporuje, jen to tvrdíte v metadatech, pokud jste je dlouho neaktualizovali. Upravte tedy metadata svého IdP následujícími kroky.

Odebrání SAML 1.1 z podporovaných protokolů

V elementu IDPSSODescriptor z atributu protocolSupportEnumeration odeberte hodnoty urn:oasis:names:tc:SAML:1.1:protocol a urn:mace:shibboleth:1.0 a nechte tam pouze urn:oasis:names:tc:SAML:2.0:protocol: 

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <!-- obsah elementu IDPSSODescriptor -->
</IDPSSODescriptor>

Odebrání SAML 1.1 endpointů

Odeberte všechny elementy SingleSignOnService využívající SAML 1.1: 

<SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest"
  Location="https://idp.example.org/idp/profile/Shibboleth/SSO" />

Odeberte všechny elementy ArtifactResolutionService: 

<ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding"
  Location="https://idp.example.org:8443/idp/profile/SAML1/SOAP/ArtifactResolution" index="1" />

Odebrání back-channelu

Odeberte celý element AttributeAuthorityDescriptor včetně všech potomků. 

<AttributeAuthorityDescriptor
  protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol">
  <Extensions>
    <shibmd:Scope regexp="false">example.org</shibmd:Scope>
  </Extensions>
  <KeyDescriptor>
    <ds:KeyInfo>
      <ds:X509Data>
        <ds:X509Certificate>
          <!-- certifikát ve formátu base64 -->
        </ds:X509Certificate>
      </ds:X509Data>
    </ds:KeyInfo>
  </KeyDescriptor>
  <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP"
    Location="https://idp.example.org:8443/idp/profile/SAML2/SOAP/AttributeQuery" />
  <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding"
    Location="https://idp.example.org:8443/idp/profile/SAML1/SOAP/AttributeQuery" />
</AttributeAuthorityDescriptor>

Aktualizace metadat

Nyní, když máte metadata upravená, nezapomeňte je aktualizovat ve federaci.