Odebrání podpory pro SAML 1.1
SimpleSAMLphp verze 2.0 ukončilo podporu pro protokol SAML 1.1 a podporuje už pouze SAML 2.0, což může způsobovat problémy s přihlášením. Níže jsou uvedeny kroky k odstranění podpory pro SAML 1.1 z Shibboleth IdP a tedy opravě přihlašování ke službám využívajícím SimpleSAMLphp 2+.
S velmi vysokou pravděpodobností IdP, které dnes provozujete, zejména pokud průběžně aktualizujete, stejně SAML 1.1 nepodporuje, jen to tvrdíte v metadatech, pokud jste je dlouho neaktualizovali. Upravte tedy metadata svého IdP následujícími kroky.
Odebrání SAML 1.1 z podporovaných protokolů
V elementu IDPSSODescriptor
z atributu protocolSupportEnumeration
odeberte hodnoty urn:oasis:names:tc:SAML:1.1:protocol a urn:mace:shibboleth:1.0 a nechte tam pouze urn:oasis:names:tc:SAML:2.0:protocol:
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <!-- obsah elementu IDPSSODescriptor --> </IDPSSODescriptor>
Odebrání SAML 1.1 endpointů
Odeberte všechny elementy SingleSignOnService
využívající SAML 1.1:
<SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest" Location="https://idp.example.org/idp/profile/Shibboleth/SSO" />
Odeberte všechny elementy ArtifactResolutionService
:
<ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="https://idp.example.org:8443/idp/profile/SAML1/SOAP/ArtifactResolution" index="1" />
Odebrání back-channelu
Odeberte celý element AttributeAuthorityDescriptor
včetně všech potomků.
<AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol"> <Extensions> <shibmd:Scope regexp="false">example.org</shibmd:Scope> </Extensions> <KeyDescriptor> <ds:KeyInfo> <ds:X509Data> <ds:X509Certificate> <!-- certifikát ve formátu base64 --> </ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </KeyDescriptor> <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.example.org:8443/idp/profile/SAML2/SOAP/AttributeQuery" /> <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="https://idp.example.org:8443/idp/profile/SAML1/SOAP/AttributeQuery" /> </AttributeAuthorityDescriptor>
Aktualizace metadat
Nyní, když máte metadata upravená, nezapomeňte je aktualizovat ve federaci.