Table of Contents |
---|
Määrittele IdP käyttämään Haka-testiympäristön metadataa
MetadataProvider -ohje | IdP 3.0#metadataProvider |
Haka-testiympäristön metadata | https://haka.funet.fi/metadata/haka_test_metadata_signed.xml |
Testimetadatan allekirjoitusvarmenne | haka_testi_2015_sha2.crt |
Lisää IdP-palvelimesi testiympäristöön
Tavanomainen federaation metadata | Testiympäristön metadata |
---|---|
Lisää uusi IdP
Kirjaudu ensin | https://rr.funet.fi/rr/ |
Manage IdPs -> Add New Entity Provider | https://rr.funet.fi/rr/idp_edit.php?id=new |
Organization Information
Valitse organisaatioksi | ShibIdPv3WorkShop |
IdP's Basic Information
Info |
---|
Paina mieleen tai kirjoita ylös, mitä määrittelet tähän osioon. Joudut käyttämään arvoja myöhemmin IdP:n konfiguraatiossa. |
Entity Id | Muodosta entityId virtuaalikoneesi host-nimen perusteella siten, että allaolevan esimerkin tilalle korvaat oman virtuaalikoneesi nimen:
Lisää URL:n polulle myös oman työryhmäsi nimikirjaimet tai muu sellainen tunniste, josta ryhmäsi on koulutuksessa erotettavissa. Huomioi, että testimetadata on julkisesti jaossa.
| |||||||
Attribute Scope(s) / Domain(s) | Valitse IdP:lle skooppi, jonka myöhemmin määrittelet attribuuteille.
|
Supported Protocols
Valitse aina SAML 2.0. Shibboleth 1.3 on jäänne menneisyydestä.
Supported Name Formats
Info |
---|
Luovuta palveluille vain niiden tarvitsemia tietoja. Jos käyttäjän henkilöllisyys ei ole palvelulle tarpeellinen tieto, se voi yksilöidä käyttäjän nimitunnisteen avulla. Persistent-nimitunniste on Hakassa suositeltu fep-versiosta 2.2 alkaen. |
Expand | |||||
---|---|---|---|---|---|
| |||||
SAML-nimitunniste yksilöi käyttäjän identifioimatta (unique opaque identifier). Nimitunniste luovutetaan SAML-assertiossa Subject-kenttässä, kun attribuuttien arvot luovutetaan AttributeStatementissa. SP määrittelee metadatassa, mitä nimitunnisteita se tukee. Mikäli IdP ei pysty tuottamaan SP:n tukemaa nimitunnistetta, kirjautuminen voi päätyä virheeseen. Näin käy esim. silloin, kun IdP luovuttaa Hakassa aiemmin ainoana pakollisena nimitunnisteena transient-tunnisteen, mutta SP:n metadataan on kirjattu tuetuksi tunnisteeksi persistent.
Nimitunniste on jokaisen IdP/SP -paria ja käyttäjää kohden yksilöllinen. Tällä tavalla palvelut (SP) eivät voi identifioida käyttäjää nimitunnisteita vertaamalla. Identifioimatonta nimitunnistetta käytetään palveluissa (SP) esim. silloin, kun halutaan mahdollistaa käyttäjälle pääsy samaan käyttäjäprofiiliin, mutta ei ole tarvetta tallentaa käyttäjän henkilötietoja. Henkilötietosäädösten ja Haka-palvelusopimuksen perusteella palvelut (SP) saavat käsitellä ja IdP luovuttaa vain tarpeellisia henkilötietoja. Esimerkiksi aineistotietopalvelussa tai metatietojen hakupalvelussa voi olla tarpeen rajata pääsy aineistoon vain tutkijoille. Tällöin ei tarvita henkilötietoa käyttäjistä, vain ainoastaan tieto henkilön suhteesta organisaatioon. Tutkijastatus voidaan Hakassa luovuttaa käyttäen eduPersonAffiliation-attribuuttia. Identifioimattomien tunnisteiden käyttö helpottaa palvelun (SP) toteuttamista, sillä palveluun ei muodostu henkilörekisteriä. Palvelun suojaus voidaan toteuttaa kevyemmin. |
urn:mace:shibboleth:1.0:nameIdentifier | Ei käytössä, jäänne menneisyydestä |
urn:oasis:names:tc:SAML:2.0:nameid-format:transient | Sessioiden välillä vaihtuva nimitunniste. Pakollinen Hakassa. Valitse vähintään tämä. |
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent | Pysyvä nimitunniste, joka ei saa muuttua. Suositeltu Hakassa (fep v 2.2) Arvo voi olla sama, kuin eduPersonTargetedId-attribuutissa, mutta ei tarvitse olla. Shibboleth IdP tukee, mutta vaatii erillistä konfiguraatiota, jossa muodostetut nimitunnisteet joko tallennetaan tietokantaan ja tunnisteet muodostetaan laskemalla siemen-attribuutista ja kiinteästä siemenmerkkijonosta (salt). |
The Federations this Entity will be published to
Cirrus test | CSC:n sisäinen, ei yleisessä käytössä |
CSC Internal | CSC:n sisäinen, ei yleisessä käytössä |
eduGain test | eduGainilla on testi-metadata, mutta Haka-IdP:llä on sille vähän käyttöä. Toistaiseksi ei ole tiedossa ulkomaista palvelua (SP), joka olisi kaikkien IdP:iden käytössä. Käytännössä testaaminen edellyttää jonkin ulkomaisen tahon kanssa sopimista. |
Kalmar union test | Kuten edellinen, mutta pohjoismaisen Kalmar2-federaation metadata. |
Haka test | Vain tähän rasti. IdP lisätään koulutuksessa Hakan testiympäristöön. |
IdP's SAML Endpoints
Single Sign-On Service URLs
Expand | ||
---|---|---|
| ||
SSO URL määrittää palvelulle (SP) sen päätepisteen (endpoint), johon lähettää autentikaatiopyynnön. Osoite julkaistaan metadatassa.
Hakassa käytetään SAML 2.0 Web Browser SSO Profiilia. Käytössä on vain HTTP-Redirect päätepiste. Hakassa on käytettävä suojattua HTTPS-liikennettä kaikkien SAML-viestien välittämiseen. Viimeistään keväällä 2016 on siirryttävä käyttämään vähintään SHA2-tasoisella menetelmällä allekirjoitettuja varmenteita HTTPS-päätepisteessä. Funetin Varmennepalvelusta saatavat uudet varmenteet ovat SHA2-allekirjoitettuja. |
HTTP-Redirect | Muokkaa mallin mukaan oman IdP:si URL https://vmXXXX.kaj.pouta.csc.fi/idp/profile/SAML2/Redirect/SSO |
HTTP-Post | Ei käytössä Hakassa |
Attribute Service URLs
Ei käytetä tässä harjoituksessa. Jätä tyhjäksi.
Expand | ||
---|---|---|
| ||
Attribute Service URL määritetään silloin, kun IdP toimii nk. attribuuttirikastimena, eli AttributeProviderina. Käyttöoikeuksien valtuutuspalvelu REMS on esimerkki tällaisesta käyttötapauksesta. REMS ei autentikoi käyttäjää, vaan tunnistaminen tapahtuu käyttäjän oman kotiorganisaation IdP:llä. Kun käyttäjä kirjautuu palveluun (SP), joka tarvitsee käyttövaltuustietoa REMS:ltä, SP pyytää REMS-IdP:ltä lisäattribuutteja. REMS-IdP antaa autentikaatiovastauksen, jossa ei ole AuthenticationStatementia. Vastauksessa on AttributeStatement, jossa luovutetaan eduPersonEntitlement-attribuutti. Tämän attribuutin arvoon perustuen palvelu tekee ratkaisun, annetaanko käyttäjälle pääsy hänen hakemaansa aineistoon. Lisätietoa REMS:stä: https://confluence.csc.fi/display/REMS/Home IdP:t voidaan myös ketjuttaa niin, että käyttäjän autentikoiva IdP noutaa lisäattribuutteja toisen IdP:n AttributeProviderilta. |
Single Logout Service URLs
Single Logout ei ole pakollinen Hakassa ja siihen liittyy hankaluuksia. SLO ei kuulu koulutuksen skooppiin, mutta voit määrittää omaa testailua varten metadataan seuraavat tiedot.
Expand | ||
---|---|---|
| ||
Shibboleth IvP v 3:een on suunniteltu laajempaa logout-tukea. Vielä sitä ei ole toteutettu ja v3 IdP:n käyttäytyminen LogoutRequesteihin saattaa olla ennalta-arvaamatonta ja todennäköisesti päättyy virheeseen. Seuraavissa versioissa tuki saattaa parantua. Hakan käyttämä SAML-profiili asettaa vaatimuksia Single Logoutin toteutukselle. Single logout toteutetaan Hakassa nk. front channel kommunikaatiolla käyttäjän selaimessa. Päätepisteenä käytetään vain HTTP-Redirect. Jos logout ei toteudu täydellisesti, IdP:n on ohjeistettava käyttäjää logoutin loppuun saattamisessa. Single Logout ei ole Hakassa pakollinen. Siitä syystä operoinnin ohjeitus onkin, että Single Logout -tukea ei kannata mainostaa metadatassa, ellei ole täyttä varmuutta, että SLO-vaatimukset täyttyvät. Shibboleth-IdP v3:n perustoteutuksella SLO-URL:ia ei pidä kirjata Haka-metadataan. |
HTTP-Redirect | https://vmXXXX.kaj.pouta.csc.fi/idp/profile/SAML2/Redirect/SLO |
SOAP | Ei käytössä Hakassa |
Certificates
Muodosta salainen avain ja varmenne turvallisessa paikassa. Koulutuksessa on tarkoituksenmukaista muodostaa salainen avain virtuaalikoneympäristössä.
Käytä SAML-viestien suojaamiseen tarkoitettua salaista avainta ainoastaan SAML-käytössä IdP-palvelimella. Älä käytä samaa salaista avainta SAML-viestien ja HTTPS-liikenteen suojaamiseen. Koulutuksessa varmenne voi olla lyhytikäinen, mutta tuotannossa voit suunnitella varmenteen voimassaoloajan organisaatiosi ohjeistuksen perusteella.
Expand | ||
---|---|---|
| ||
Hakan varmennekäytännön mukaisesti:
Hakassa käytettävä varmenne voi siis olla myös itseallekirjoitettu. SAML:ssa varmennetta käytetään vain julkisen avaimen toimittamiseen. Varmenteen muut ominaisuudet jätetään huomiotta. Siitä huolimatta varmenteen on oltava voimassa. Mikäli syntyy epäilys salaisen avaimen vaarantuneen, tai varmenne on vanhenemassa on avain vaihdettava prosessin mukaan. Sijoita salainen avain palvelimelle asianmukaiseen paikkaan ja varmista, että siihen on lukuoikeus vain sillä käyttäjällä, jolla IdP-suoritusympäristöä ajetaan. Varmista, että |
Code Block | ||
---|---|---|
| ||
openssl genrsa -out key.pem 2048 openssl req -new -key key.pem -out csr.pem openssl req -x509 -days 365 -key key.pem -in csr.pem -out certificate.pem mv key.pem /opt/shibboleth-idp/credentials/shibTrSamlKey.pem chown root.jetty /opt/shibboleth-idp/credentials/shibTrSamlKey.pem chmod 440 /opt/shibboleth-idp/credentials/shibTrSamlKey.pem mv certificate.pem /opt/shibboleth-idp/credentials/shibTrSamlCert.pem chown root.jetty /opt/shibboleth-idp/credentials/shibTrSamlCert.pem chmod 444 /opt/shibboleth-idp/credentials/shibTrSamlCert.pem less /opt/shibboleth-idp/credentials/shibTrSamlCert.pem |
Kopioi varmenne resurssirekisteriin PEM-muodossa ilman BEGIN ja END -rivejä. Tarkista, että avainpituus ja CN vastaavat vaatimuksia ja varmenteen voimassaolo vastaa suunnitelmaa.
Supported attributes
Tämä osio on informatiivinen, jota käytetään attribuuttiluettelon muodostamiseksi tuotannon IdP-palvelimista. Koulutuksessa ei tarvitse rastittaa attribuutteja. Paina "Apply Changes and return".
Tuotannossa listan ajan tasalla pitäminen vähentää tarpeettomia kysymyksiä IdP-ylläpidolle.
UI Extensions
Täydennä IdP:n käyttöliittymätiedot. DS-palvelut hyödyntävät UI-tietoja vaihtelevasti. Hakan DS-palvelussa organisaation nimi otetaan DisplayName-kentästä ja valikossa tulostetaan organisaation kuvake, jos se on saatavilla HTTPS-URL:sta ja lisätty 16x16 kokoisena.
Koulutuksessa valitse IdP:llesi erottuva DisplayName kaikilla kolmella kielellä.
Statistics
Kirjautumistilastojen keräämistä ei käsitellä koulutuksessa. Lue lisää Haka-wikistä.
Contact Information
Tuotannossa on ilmoitettava vähintään tekninen kontakti. Sekä etunimi- ja sukunimikentät on täytettävä kaikille syötettäville kontakteille UTF-8 -merkistössä.
Submit IdP Description
Kun olet vamistunut tietojen oikeellisuudesta, muista tallentaa muutokset lähettämällä ne tarkastettavaksi Haka-operoinnille.