projects / shibboleth / cpp-sp.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
https://issues.shibboleth.net/jira/browse/SSPCPP-605
[shibboleth/cpp-sp.git] / configs / win-shibboleth2.xml
diff --git a/configs/win-shibboleth2.xml b/configs/win-shibboleth2.xml
index c32f66c..3bd72d5 100644 (file)
--- a/configs/win-shibboleth2.xml
+++ b/configs/win-shibboleth2.xml
@@ -36,10 +36,10 @@
     <!--
     To customize behavior for specific resources on IIS, and to link vhosts or
     resources to ApplicationOverride settings below, use the XML syntax below.
     <!--
     To customize behavior for specific resources on IIS, and to link vhosts or
     resources to ApplicationOverride settings below, use the XML syntax below.
-    See https://spaces.internet2.edu/display/SHIB2/NativeSPRequestMapHowTo for help.
+    See https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPRequestMapHowTo for help.
     
     Apache users should rely on web server options/commands in most cases, and can remove the
     
     Apache users should rely on web server options/commands in most cases, and can remove the
-    RequestMapper element. See https://spaces.internet2.edu/display/SHIB2/NativeSPApacheConfig
+    RequestMapper element. See https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig
     -->
     <RequestMapper type="Native">
         <RequestMap>
     -->
     <RequestMapper type="Native">
         <RequestMap>
@@ -71,19 +71,20 @@
         You MUST supply an effectively unique handlerURL value for each of your applications.
         The value defaults to /Shibboleth.sso, and should be a relative path, with the SP computing
         a relative value based on the virtual host. Using handlerSSL="true", the default, will force
         You MUST supply an effectively unique handlerURL value for each of your applications.
         The value defaults to /Shibboleth.sso, and should be a relative path, with the SP computing
         a relative value based on the virtual host. Using handlerSSL="true", the default, will force
-        the protocol to be https. You should also add a cookieProps setting of "; path=/; secure; HttpOnly"
-        in that case. Note that while we default checkAddress to "false", this has a negative
-        impact on the security of the SP. Stealing cookies/sessions is much easier with this disabled.
+        the protocol to be https. You should also set cookieProps to "https" for SSL-only sites.
+        Note that while we default checkAddress to "false", this has a negative impact on the
+        security of your site. Stealing sessions via cookie theft is much easier with this disabled.
         -->
         -->
-        <Sessions lifetime="28800" timeout="3600" checkAddress="false" relayState="ss:mem" handlerSSL="false">
+        <Sessions lifetime="28800" timeout="3600" relayState="ss:mem"
+                  checkAddress="false" handlerSSL="false" cookieProps="http">
 
             <!--
 
             <!--
-              Configures SSO for a default IdP. To allow for >1 IdP, remove
-              entityID property and adjust discoveryURL to point to discovery service.
-              (Set discoveryProtocol to "WAYF" for legacy Shibboleth WAYF support.)
-              You can also override entityID on /Login query string, or in RequestMap/htaccess.
-              -->
-            <SSO entityID="https://idp.example.org/shibboleth"
+            Configures SSO for a default IdP. To allow for >1 IdP, remove
+            entityID property and adjust discoveryURL to point to discovery service.
+            (Set discoveryProtocol to "WAYF" for legacy Shibboleth WAYF support.)
+            You can also override entityID on /Login query string, or in RequestMap/htaccess.
+            -->
+            <SSO entityID="https://idp.example.org/idp/shibboleth"
                  discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF">
               SAML2 SAML1
             </SSO>
                  discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF">
               SAML2 SAML1
             </SSO>
@@ -95,7 +96,7 @@
             <Handler type="MetadataGenerator" Location="/Metadata" signing="false"/>
 
             <!-- Status reporting service. -->
             <Handler type="MetadataGenerator" Location="/Metadata" signing="false"/>
 
             <!-- Status reporting service. -->
-            <Handler type="Status" Location="/Status" acl="127.0.0.1"/>
+            <Handler type="Status" Location="/Status" acl="127.0.0.1 ::1"/>
 
             <!-- Session diagnostic service. -->
             <Handler type="Session" Location="/Session" showAttributeValues="false"/>
 
             <!-- Session diagnostic service. -->
             <Handler type="Session" Location="/Session" showAttributeValues="false"/>
@@ -109,7 +110,7 @@
         also add attributes with values that can be plugged into the templates.
         -->
         <Errors supportContact="root@localhost"
         also add attributes with values that can be plugged into the templates.
         -->
         <Errors supportContact="root@localhost"
-            logoLocation="/shibboleth-sp/logo.jpg"
+            helpLocation="/about.html"
             styleSheet="/shibboleth-sp/main.css"/>
         
         <!-- Example of remotely supplied batch of signed metadata. -->
             styleSheet="/shibboleth-sp/main.css"/>
         
         <!-- Example of remotely supplied batch of signed metadata. -->
@@ -127,7 +128,7 @@
         -->
 
         <!-- Map to extract attributes from SAML assertions. -->
         -->
 
         <!-- Map to extract attributes from SAML assertions. -->
-        <AttributeExtractor type="XML" validate="true" path="attribute-map.xml"/>
+        <AttributeExtractor type="XML" validate="true" reloadChanges="false" path="attribute-map.xml"/>
         
         <!-- Use a SAML query if no attributes are supplied during SSO. -->
         <AttributeResolver type="Query" subjectMatch="true"/>
         
         <!-- Use a SAML query if no attributes are supplied during SSO. -->
         <AttributeResolver type="Query" subjectMatch="true"/>
@@ -140,7 +141,7 @@
 
         <!--
         The default settings can be overridden by creating ApplicationOverride elements (see
 
         <!--
         The default settings can be overridden by creating ApplicationOverride elements (see
-        the https://spaces.internet2.edu/display/SHIB2/NativeSPApplicationOverride topic).
+        the https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApplicationOverride topic).
         Resource requests are mapped by web server commands, or the RequestMapper, to an
         applicationId setting.
         
         Resource requests are mapped by web server commands, or the RequestMapper, to an
         applicationId setting.
         
Unnamed repository; edit this file 'description' to name the repository.