Documentation : https://wiki.shibboleth.net/confluence/display/IDP30/SecurityConfiguration#SecurityConfiguration-SigningandEncryptionConfiguration
Pour mettre en place un portail captif eduspot de nombreux établissements utilisent la solution de portail captif Univnautes qui repose sur la librairie Lasso. La version Univnautes au 11/02/2016 utilise une version ancienne de Lasso qui ne gère pas la signature d'assertions SAML utilisant l'algorithme SHA-256.
Une solution transitoire, fournie par Jérôme Nenert (U Paris 2) consiste à utiliser le SHA-1 au lieu du SHA-256 pour tous les SPs de la catégorie Wifi de la fédération.
<!-- Eduspot --> <bean id="SHA1SecurityConfig" parent="shibboleth.DefaultSecurityConfiguration" p:signatureSigningConfiguration-ref="shibboleth.SigningConfiguration.SHA1" /> <util:list id="shibboleth.RelyingPartyOverrides"> <bean parent="RelyingPartyByTag"> <constructor-arg name="candidates"> <list> <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" p:values="https://federation.renater.fr/category/wifi" /> </list> </constructor-arg> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:securityConfiguration-ref="SHA1SecurityConfig" /> <bean parent="SAML1.AttributeQuery" p:securityConfiguration-ref="SHA1SecurityConfig" /> <bean parent="SAML1.ArtifactResolution" p:securityConfiguration-ref="SHA1SecurityConfig" /> <bean parent="SAML2.SSO" p:securityConfiguration-ref="SHA1SecurityConfig" /> <bean parent="SAML2.ECP" p:securityConfiguration-ref="SHA1SecurityConfig" /> <bean parent="SAML2.Logout" p:securityConfiguration-ref="SHA1SecurityConfig" /> <bean parent="SAML2.AttributeQuery" p:securityConfiguration-ref="SHA1SecurityConfig" /> <bean parent="SAML2.ArtifactResolution" p:securityConfiguration-ref="SHA1SecurityConfig" /> </list> </property> </bean> </util:list>
