Detaillierte technische Anforderungen an die WS-Federation Schnittstelle

Grundsätzliche technische Anforderungen

Hier werden die grundsätzlichen, technischen Anforderungen der WS-Federation Schnittstelle beschrieben. Es beschränkt sich auf die Punkte, die sich von der Integration einer SAML 2.0 fähigen Anwendung unterscheiden oder die zusätzlich zur Anwendung kommen.

Benötigte Parameter wsignin Request


Name       MUSS/KANNBedeutungMöglicher Werte
wa MUSS Gewünschte Aktion auf der Schnittstelle wsignin1.0
wtrealm MUSS Realm zur Identifizierung der aufrufenden Relying Party (Applikation) URI (URL oder URN)
wctx KANN Optionale Context Information z.B. über die URL, auf die der Client nach der Authentifizierung umgeleitet werden soll. Dieser Wert wird vom eIAM-Web PEP unverändert mit der Response wieder an die Relying Party retourniert.
Soll aus Sicherheitsgründen (z.B. XSS) keine URL sein, sondern ein Opaque Wert, den nur die Relying Party kennt.

Session Aufbau im eIAM mit WS-Federation


Webapplikationen, die mittels WS-Federation Protokoll föderieren, stellen beim eIAM-Web PEP mittels eines wsignin Request den Antrag auf ein Security Token. Der eIAM-Web PEP kann auf seinen WS-Federation Schnittstellen Security Token in den Formaten SAML 1.1 und SAML 2.0 ausstellen.

Die Authentifizierung eines zugreifenden Benutzers läuft gemäss der nachfolgenden Abbildung ab.

Sessionaufbau eIAM und Applikation mit Föderation
Sessionaufbau eIAM und Applikation mit Föderation


Request für ein SAML 1.1 Security Token
Der eIAM-Web PEP nimmt die wsignin Requests unter
/auth/wsfed/ipsts11?wa=wsignin1.0 entgegen und stellt SAML 1.1 Assertions aus.

https://<FQDN des PEP>/auth/wsfed/ipsts11

Beispiel
https://www.gate.amt.admin.ch/auth/wsfed/ipsts11

Request für ein SAML 2.0 Security Token
Der eIAM-Web PEP nimmt die wsignin Requests unter
/auth/wsfed/ipsts?wa=wsignin1.0 entgegen und stellt SAML 2.0 Assertions aus.

https://<FQDN des PEP>/auth/wsfed/ipsts

Beispiel
https://www.gate.amt.admin.ch/auth/wsfed/ipsts

Session Terminierung im eIAM mit WS-Federation

Die WS-Federation Schnittstelle von eIAM unterstützt lediglich den Single Sign-On mit dem WS-Federation Protokoll. Der Single Sign-Out mittels WS-Federation Protokoll ist nicht unsterstützt.

Die Terminierung einer laufenden Session in der mit eIAM integrierten Webapplikation erfolgt mittels Aufruf der applikationseigenen Logout URL durch den eIAM-Web PEP.

  • Sobald der Benutzer in einer beliebigen Applikation des SSO Verbundes die Logout Funktion aufruft.
  • Die maximale Session Lebenszeit auf dem eIAM-Web PEP erreicht wird.
  • Die maximale Zeitdauer der Inaktivität der Session auf dem eIAM-Web PEP erreicht wird.