View Source

Tunnistuspalvelin

Tarkat yksityiskohdat konfiguroinnista riippuvat aina tunnistuspalvelimen tukemista tunnistusvälineistä sekä käytettävästä tunnistuspalvelimen ohjelmistosta. Ohjeet ovat tarkoitetut esimerkeiksi.

Ennen sanaston aktivoimista, varmistu REFEDS:n dokumentaatiosta, että tunnistuspalvelimesi suorittaa tunnistuksen sanaston vaatimusten mukaisesti: https://refeds.org/profile/mfa ja https://refeds.org/profile/sfa

Shibboleth IdP

Shibboleth IdP:ssa voi lisätä tunnistusvuolle erilaisia menetelmiä, jotka ohjataan kyseiselle vuolle. Huomaa, että versiossa 4.1 alkaen konfigurointi on muuttunut ja hoituu properties-tiedoston avulla. Shibboleth dokumentaatio kuvaa REFEDS-sanaston käyttöönoton: https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1474297850/Supporting+the+REFEDS+MFA+Profile

Lisätietoja Shibboleth IdP:n tunnistusvuon valitsemisesta: https://wiki.shibboleth.net/confluence/display/IDP4/AuthenticationFlowSelection

Testaaminen

Sanaston testaamisessa voit käyttää Hakan attribuuttitestipalvelua https://firmitas.csc.fi/haka. Tuotannon attribuuttitestipalvelusta voi käynnistää erilaisia tunnistuspyyntöjä, joilla voit varmistua oman tunnistuspalvelimesi toiminnasta.

Palvelu

Palvelu voi pyytää tiettyä tunnistusmenetelmää tunnistuspalvelimelta asettamalla AuthenticationContextClass -arvon tunnistuspyyntöön.

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
                    AssertionConsumerServiceURL="https://sp/acs"
                    Destination="https://idp.fi/idp/profile/SAML2/Redirect/SSO"
                    ID="_f26b6841641ce405e127c2e8892dfa0f"
                    IssueInstant="2021-06-02T12:29:20Z"
                    ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                    Version="2.0"
                    >
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://entityid/sp</saml:Issuer>
    <samlp:NameIDPolicy AllowCreate="1" />
    <samlp:RequestedAuthnContext>
        <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://refeds.org/profile/mfa</saml:AuthnContextClassRef>
    </samlp:RequestedAuthnContext>
</samlp:AuthnRequest>

Shibboleth SP

Arvon lisääminen tunnistuspyyntöön on ohjelmistokohtaista, mutta esimerkkinä suosittuun Shibboleth SP -ohjelmistossa sen voi asettaa mm. kirjautumislinkkiin:

https://hostname.fi/Shibboleth.sso/Login?authnContextClassRef=https://refeds.org/profile/mfa

Saman toiminnallisuuden voi tehdä myös Apachessa

ShibRequestSetting authnContextClassRef https://refeds.org/profile/mfa

Lisätietoja: https://wiki.shibboleth.net/confluence/display/SP3/Requiring+Multi-Factor+Authentication