• Created by Unknown User (klaalo@csc.fi), last modified on Oct 08, 2015

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 7 Next »

Määrittele IdP käyttämään Haka-testiympäristön metadataa

MetadataProvider -ohjeIdP 3.0#metadataProvider
Haka-testiympäristön metadatahttps://haka.funet.fi/metadata/haka_test_metadata_signed.xml
Testimetadatan allekirjoitusvarmennehaka_testi_2015_sha2.crt

 

Lisää IdP-palvelimesi testiympäristöön

Tavanomainen federaation metadataTestiympäristön metadata

Lisää uusi IdP

Kirjaudu ensinhttps://rr.funet.fi/rr/
Manage IdPs -> Add New Entity Providerhttps://rr.funet.fi/rr/idp_edit.php?id=new

Organization Information

Valitse organisaatioksiShibIdPv3WorkShop

IdP's Basic Information

Paina mieleen tai kirjoita ylös, mitä määrittelet tähän osioon. Joudut käyttämään arvoja myöhemmin IdP:n konfiguraatiossa.

Entity Id

Muodosta entityId virtuaalikoneesi host-nimen perusteella siten, että allaolevan esimerkin tilalle korvaat oman virtuaalikoneesi nimen:

https://vmXXXX.kaj.pouta.csc.fi/ShibIdPv3WorkShop/KLa

Lisää URL:n polulle myös oman työryhmäsi nimikirjaimet tai muu sellainen tunniste, josta ryhmäsi on koulutuksessa erotettavissa. Huomioi, että testimetadata on julkisesti jaossa.

Attribute Scope(s) / Domain(s)

Valitse IdP:lle skooppi, jonka myöhemmin määrittelet konfiguraatioon

IdP voi luovuttaa skoopattuja attribuutteja, joissa skooppi määrittelee attribuutin voimassaoloalueen. Attribuuttien muoto on:

arvo@skooppi

Skoopattuja attribuutteja on Hakassa:

  • eduPersonPrincipalName
  • eduPersonScopedAffiliation
  • eduPersonUniqueId

Haka-metadatassa skooppi ilmaistaan IdPSSODescriptorin Extensiona.

<IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<Extensions>
<shibmd:Scope regexp="false">funet.fi</shibmd:Scope>
<shibmd:Scope regexp="false">yliopisto.fi</shibmd:Scope>

Hakassa on myös vatimus, että yksi IdP saa luovuttaa vain yhden arvon schacHomeOrganization -attribuutissa. Arvo on oltava sama kaikille käyttäjille. Arvon on vastattava jotakin metadataan määritettyä skooppia.

schacHomeOrganization ja skoopattuja attribuutteja hyödyntävien on tarkistettava, että attribuuttien skoopit vastaavat jotakin metadataan ilmoitettua skooppia. Yksi IdP voi julkaista useamman skoopin. Suositus kuitenkin on, että skooppi on organisaation domain-nimi ja, että sama korkeakoulu ei käytä kuin yhtä skooppia. Siirtymävaiheessa sallitaan useampia skooppeja esim. silloin, kun IdM-järjestelmän vaihdoksen yhteydessä halutaan vanhentaa vanhojen käyttäjien skoopit luonnollisesti.

  • No labels