Tunnistuspalvelin
Tarkat yksityiskohdat konfiguroinnista riippuvat aina tunnistuspalvelimen tukemista tunnistusvälineistä sekä käytettävästä tunnistuspalvelimen ohjelmistosta. Ohjeet ovat tarkoitetut esimerkeiksi.
Ennen sanaston aktivoimista, varmistu REFEDS:n dokumentaatiosta, että tunnistuspalvelimesi suorittaa tunnistuksen sanaston vaatimusten mukaisesti: https://refeds.org/profile/mfa ja https://refeds.org/profile/sfa
Shibboleth IdP
Shibboleth IdP:ssa voi lisätä tunnistusvuolle erilaisia menetelmiä, jotka ohjataan kyseiselle vuolle. Huomaa, että versiossa 4.1 alkaen konfigurointi on muuttunut ja hoituu properties-tiedoston avulla. Shibboleth dokumentaatio kuvaa REFEDS-sanaston käyttöönoton: https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1474297850/Supporting+the+REFEDS+MFA+Profile
Lisätietoja Shibboleth IdP:n tunnistusvuon valitsemisesta: https://wiki.shibboleth.net/confluence/display/IDP4/AuthenticationFlowSelection
Testaaminen
Sanaston testaamisessa voit käyttää Hakan attribuuttitestipalvelua https://firmitas.csc.fi/haka. Tuotannon attribuuttitestipalvelusta voi käynnistää erilaisia tunnistuspyyntöjä, joilla voit varmistua oman tunnistuspalvelimesi toiminnasta.
Palvelu
Palvelu voi pyytää tiettyä tunnistusmenetelmää tunnistuspalvelimelta asettamalla AuthenticationContextClass -arvon tunnistuspyyntöön.
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="https://sp/acs" Destination="https://idp.fi/idp/profile/SAML2/Redirect/SSO" ID="_f26b6841641ce405e127c2e8892dfa0f" IssueInstant="2021-06-02T12:29:20Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0" > <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://entityid/sp</saml:Issuer> <samlp:NameIDPolicy AllowCreate="1" /> <samlp:RequestedAuthnContext> <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://refeds.org/profile/mfa</saml:AuthnContextClassRef> </samlp:RequestedAuthnContext> </samlp:AuthnRequest>
Shibboleth SP
Arvon lisääminen tunnistuspyyntöön on ohjelmistokohtaista, mutta esimerkkinä suosittuun Shibboleth SP -ohjelmistossa sen voi asettaa mm. kirjautumislinkkiin:
https://hostname.fi/Shibboleth.sso/Login?authnContextClassRef=https://refeds.org/profile/mfa
Saman toiminnallisuuden voi tehdä myös Apachessa
ShibRequestSetting authnContextClassRef https://refeds.org/profile/mfa
Lisätietoja: https://wiki.shibboleth.net/confluence/display/SP3/Requiring+Multi-Factor+Authentication