• Created by Unknown User (klaalo@csc.fi), last modified on Oct 08, 2015

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 19 Next »

Määrittele IdP käyttämään Haka-testiympäristön metadataa

MetadataProvider -ohjeIdP 3.0#metadataProvider
Haka-testiympäristön metadatahttps://haka.funet.fi/metadata/haka_test_metadata_signed.xml
Testimetadatan allekirjoitusvarmennehaka_testi_2015_sha2.crt

 

Lisää IdP-palvelimesi testiympäristöön

Tavanomainen federaation metadataTestiympäristön metadata

Lisää uusi IdP

Kirjaudu ensinhttps://rr.funet.fi/rr/
Manage IdPs -> Add New Entity Providerhttps://rr.funet.fi/rr/idp_edit.php?id=new

Organization Information

Valitse organisaatioksiShibIdPv3WorkShop

IdP's Basic Information

Paina mieleen tai kirjoita ylös, mitä määrittelet tähän osioon. Joudut käyttämään arvoja myöhemmin IdP:n konfiguraatiossa.

Entity Id

Muodosta entityId virtuaalikoneesi host-nimen perusteella siten, että allaolevan esimerkin tilalle korvaat oman virtuaalikoneesi nimen:

https://vmXXXX.kaj.pouta.csc.fi/ShibIdPv3WorkShop/KLa

Lisää URL:n polulle myös oman työryhmäsi nimikirjaimet tai muu sellainen tunniste, josta ryhmäsi on koulutuksessa erotettavissa. Huomioi, että testimetadata on julkisesti jaossa.

EntityId:n on oltava globaalisti yksikäsitteinen. Silloin, kun palvelu on lisätty vain yhteen federaatioon, periaatteessa riittää metadatan kattava yksikäsitteisyys. Haka on mukana kansainvälisissä Kalmar2 ja eduGAIN-verkostoissa. Hakassa entityId:n on oltava URI, joka on organisaation omistamasta nimiavaruudesta. Useimmat organisaatiot käyttävät URL, koska eivät ole ottaneet käyttöön muuta omaa nimijärjestelmää (kuten URN). EntityId:n ei tarvitse resolvoitua, eli sitä vastaavaa osoitetta ei tarvitse löytyä esim. DNS-järjestelmästä. SAML-määritykset mahdollistavat entiteetin metadatan löytämisen entityId:n perusteella. Tällainen menettely ei vielä ole käytössä Hakassa. Tulevaisuuden kehityksen mahdollistamiseksi kannattaa varata entityId:ksi sellainen nimi, joka ei myöhemmin törmää esim. tuotenimien tai organisaation julkisten www-osoitteiden kanssa.

Attribute Scope(s) / Domain(s)

Valitse IdP:lle skooppi, jonka myöhemmin määrittelet attribuuteille.

IdP voi luovuttaa skoopattuja attribuutteja, joissa skooppi määrittelee attribuutin voimassaoloalueen. Attribuuttien muoto on:

arvo@skooppi

Skoopattuja attribuutteja on Hakassa:

  • eduPersonPrincipalName
  • eduPersonScopedAffiliation
  • eduPersonUniqueId

Haka-metadatassa skooppi ilmaistaan IdPSSODescriptorin Extensiona.

<IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<Extensions>
<shibmd:Scope regexp="false">funet.fi</shibmd:Scope>
<shibmd:Scope regexp="false">yliopisto.fi</shibmd:Scope>

Hakassa on myös vatimus, että yksi IdP saa luovuttaa vain yhden arvon schacHomeOrganization -attribuutissa. Arvo on oltava sama kaikille käyttäjille. Arvon on vastattava jotakin metadataan määritettyä skooppia.

schacHomeOrganization ja skoopattuja attribuutteja hyödyntävien on tarkistettava, että attribuuttien skoopit vastaavat jotakin metadataan ilmoitettua skooppia. Yksi IdP voi julkaista useamman skoopin. Suositus kuitenkin on, että skooppi on organisaation domain-nimi ja, että sama korkeakoulu ei käytä kuin yhtä skooppia. Siirtymävaiheessa sallitaan useampia skooppeja esim. silloin, kun IdM-järjestelmän vaihdoksen yhteydessä halutaan vanhentaa vanhojen käyttäjien skoopit luonnollisesti.

mail-attribuutin sähköpostiosoitetta ei pidä sekoittaa skoopattuihin attribuutteihin. Esim. eppn näyttää sähköpostiosoitteelta ja eppn:n arvo voi olla sama, kuin mail-attribuutilla. Ei kuitenkaan voi olettaa, että eppn toimisi sähköpostiosoitteena.

Supported Protocols

Valitse aina SAML 2.0. Shibboleth 1.3 on jäänne menneisyydestä.

Supported Name Formats

Luovuta palveluille vain niiden tarvitsemia tietoja. Jos käyttäjän henkilöllisyys ei ole palvelulle tarpeellinen tieto, se voi yksilöidä käyttäjän nimitunnisteen avulla. Persistent-nimitunniste on Hakassa suositeltu fep-versiosta 2.2 alkaen.

SAML-nimitunniste yksilöi käyttäjän identifioimatta (unique opaque identifier). Nimitunniste luovutetaan SAML-assertiossa Subject-kenttässä, kun attribuuttien arvot luovutetaan AttributeStatementissa. SP määrittelee metadatassa, mitä nimitunnisteita se tukee. Mikäli IdP ei pysty tuottamaan SP:n tukemaa nimitunnistetta, kirjautuminen voi päätyä virheeseen. Näin käy esim. silloin, kun IdP luovuttaa Hakassa aiemmin ainoana pakollisena nimitunnisteena transient-tunnisteen, mutta SP:n metadataan on kirjattu tuetuksi tunnisteeksi persistent.

NameIdentifier SAML-autentikaatiovastauksessa
<saml2:Subject>
      <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier="https://testidp.funet.fi/idp/shibboleth" SPNameQualifier="https://testsp.funet.fi/Shibboleth.sso">_e50dd4f79c473b970d82d2ef80b29a2b</saml2:NameID>

Nimitunniste on jokaisen IdP/SP -paria ja käyttäjää kohden yksilöllinen. Tällä tavalla palvelut (SP) eivät voi identifioida käyttäjää nimitunnisteita vertaamalla.

Identifioimatonta nimitunnistetta käytetään palveluissa (SP) esim. silloin, kun halutaan mahdollistaa käyttäjälle pääsy samaan käyttäjäprofiiliin, mutta ei ole tarvetta tallentaa käyttäjän henkilötietoja. Henkilötietosäädösten ja Haka-palvelusopimuksen perusteella palvelut (SP) saavat käsitellä ja IdP luovuttaa vain tarpeellisia henkilötietoja. Esimerkiksi aineistotietopalvelussa tai metatietojen hakupalvelussa voi olla tarpeen rajata pääsy aineistoon vain tutkijoille. Tällöin ei tarvita henkilötietoa käyttäjistä, vain ainoastaan tieto henkilön suhteesta organisaatioon. Tutkijastatus voidaan Hakassa luovuttaa käyttäen eduPersonAffiliation-attribuuttia.

Identifioimattomien tunnisteiden käyttö helpottaa palvelun (SP) toteuttamista, sillä palveluun ei muodostu henkilörekisteriä. Palvelun suojaus voidaan toteuttaa kevyemmin.

urn:mace:shibboleth:1.0:nameIdentifier

Ei käytössä, jäänne menneisyydestä

urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Sessioiden välillä vaihtuva nimitunniste. Pakollinen Hakassa. Valitse vähintään tämä.

urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

Pysyvä nimitunniste, joka ei saa muuttua. Suositeltu Hakassa (fep v 2.2) Arvo voi olla sama, kuin eduPersonTargetedId-attribuutissa, mutta ei tarvitse olla. Shibboleth IdP tukee, mutta vaatii erillistä konfiguraatiota, jossa muodostetut nimitunnisteet joko tallennetaan tietokantaan ja tunnisteet muodostetaan laskemalla siemen-attribuutista ja kiinteästä siemenmerkkijonosta (salt).
  • No labels