Määrittele IdP käyttämään Haka-testiympäristön metadataa
MetadataProvider -ohje | IdP 3.0#metadataProvider |
Haka-testiympäristön metadata | https://haka.funet.fi/metadata/haka_test_metadata_signed.xml |
Testimetadatan allekirjoitusvarmenne | haka_testi_2015_sha2.crt |
Lisää IdP-palvelimesi testiympäristöön
Tavanomainen federaation metadata | Testiympäristön metadata |
---|---|
Lisää uusi IdP
Kirjaudu ensin | https://rr.funet.fi/rr/ |
Manage IdPs -> Add New Entity Provider | https://rr.funet.fi/rr/idp_edit.php?id=new |
Organization Information
Valitse organisaatioksi | ShibIdPv3WorkShop |
IdP's Basic Information
Paina mieleen tai kirjoita ylös, mitä määrittelet tähän osioon. Joudut käyttämään arvoja myöhemmin IdP:n konfiguraatiossa.
Entity Id | Muodosta entityId virtuaalikoneesi host-nimen perusteella siten, että allaolevan esimerkin tilalle korvaat oman virtuaalikoneesi nimen: https://vmXXXX.kaj.pouta.csc.fi/ShibIdPv3WorkShop/KLa Lisää URL:n polulle myös oman työryhmäsi nimikirjaimet tai muu sellainen tunniste, josta ryhmäsi on koulutuksessa erotettavissa. Huomioi, että testimetadata on julkisesti jaossa. |
Attribute Scope(s) / Domain(s) | Valitse IdP:lle skooppi, jonka myöhemmin määrittelet attribuuteille. |
Supported Protocols
Valitse aina SAML 2.0. Shibboleth 1.3 on jäänne menneisyydestä.
Supported Name Formats
Luovuta palveluille vain niiden tarvitsemia tietoja. Jos käyttäjän henkilöllisyys ei ole palvelulle tarpeellinen tieto, se voi yksilöidä käyttäjän nimitunnisteen avulla. Persistent-nimitunniste on Hakassa suositeltu fep-versiosta 2.2 alkaen.
urn:mace:shibboleth:1.0:nameIdentifier | Ei käytössä, jäänne menneisyydestä |
urn:oasis:names:tc:SAML:2.0:nameid-format:transient | Sessioiden välillä vaihtuva nimitunniste. Pakollinen Hakassa. Valitse vähintään tämä. |
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent | Pysyvä nimitunniste, joka ei saa muuttua. Suositeltu Hakassa (fep v 2.2) Arvo voi olla sama, kuin eduPersonTargetedId-attribuutissa, mutta ei tarvitse olla. Shibboleth IdP tukee, mutta vaatii erillistä konfiguraatiota, jossa muodostetut nimitunnisteet joko tallennetaan tietokantaan ja tunnisteet muodostetaan laskemalla siemen-attribuutista ja kiinteästä siemenmerkkijonosta (salt). |
The Federations this Entity will be published to
Cirrus test | CSC:n sisäinen, ei yleisessä käytössä |
CSC Internal | CSC:n sisäinen, ei yleisessä käytössä |
eduGain test | eduGainilla on testi-metadata, mutta Haka-IdP:llä on sille vähän käyttöä. Toistaiseksi ei ole tiedossa ulkomaista palvelua (SP), joka olisi kaikkien IdP:iden käytössä. Käytännössä testaaminen edellyttää jonkin ulkomaisen tahon kanssa sopimista. |
Kalmar union test | Kuten edellinen, mutta pohjoismaisen Kalmar2-federaation metadata. |
Haka test | Vain tähän rasti. IdP lisätään koulutuksessa Hakan testiympäristöön. |
IdP's SAML Endpoints
Single Sign-On Service URLs
HTTP-Redirect | Muokkaa mallin mukaan oman IdP:si URL https://vmXXXX.kaj.pouta.csc.fi/idp/profile/SAML2/Redirect/SSO |
HTTP-Post | Ei käytössä Hakassa |
Attribute Service URLs
Ei käytetä tässä harjoituksessa. Jätä tyhjäksi.
Single Logout Service URLs
Single Logout ei ole pakollinen Hakassa ja siihen liittyy hankaluuksia. SLO ei kuulu koulutuksen skooppiin, mutta voit määrittää omaa testailua varten metadataan seuraavat tiedot.
HTTP-Redirect | https://vmXXXX.kaj.pouta.csc.fi/idp/profile/SAML2/Redirect/SLO |
SOAP | Ei käytössä Hakassa |
Certificates
Muodosta salainen avain ja varmenne turvallisessa paikassa. Koulutuksessa on tarkoituksenmukaista muodostaa salainen avain virtuaalikoneympäristössä. Käytä SAML-viestien suojaamiseen tarkoitettua salaista avainta ainoastaan SAML-käytössä IdP-palvelimella. Älä käytä samaa salaista avainta SAML-viestien ja HTTPS-liikenteen suojaamiseen.
Koulutuksessa varmenne voi olla lyhytikäinen, mutta tuotannossa voit suunnitella varmenteen voimassaoloajan organisaatiosi ohjeistuksen perusteella.
openssl genrsa -out key.pem 2048 openssl req -new -key key.pem -out csr.pem openssl req -x509 -days 365 -key key.pem -in csr.pem -out certificate.pem mv key.pem /opt/shibboleth-idp/credentials/shibTrSamlKey.pem chown root.jetty /opt/shibboleth-idp/credentials/shibTrSamlKey.pem chmod 440 /opt/shibboleth-idp/credentials/shibTrSamlKey.pem mv certificate.pem /opt/shibboleth-idp/credentials/shibTrSamlCert.pem /opt/shibboleth-idp/credentials/shibTrSamlCert.pem chmod 444 /opt/shibboleth-idp/credentials/shibTrSamlCert.pem less /opt/shibboleth-idp/credentials/shibTrSamlCert.pem
Kopioi varmenne resurssirekisteriin PEM-muodossa ilman BEGIN ja END -rivejä. Tarkista, että avainpituus ja CN vastaavat vaatimuksia.