Obojstranná predošlá revízia
Predchádzajúca revízia
Nasledujúca revízia
|
Predchádzajúca revízia
|
install-sp-shibboleth [24. 07. 2019 10:35] jsilaci@umb.sk |
install-sp-shibboleth [25. 07. 2019 10:21] jsilaci@umb.sk |
| |
Pre službu je potrebné zvoliť jednoznačný identifikátor. Odporúčaný postup je taký, že ak sa služba nachádza napríklad na doméne https://www.mojweb.sk tak identifikátor bude https://www.mojweb.sk/shibboleth. Pre účely tohto návodu sa bude používať názov domény MOJA_DOMENA aby bolo ľahko identifikovateľné, čo treba nahradiť. | Pre službu je potrebné zvoliť jednoznačný identifikátor. Odporúčaný postup je taký, že ak sa služba nachádza napríklad na doméne https://www.mojweb.sk tak identifikátor bude https://www.mojweb.sk/shibboleth. Pre účely tohto návodu sa bude používať názov domény MOJA_DOMENA aby bolo ľahko identifikovateľné, čo treba nahradiť. |
| |
| > Je možné, že certifikát vygeneroval inšalátor, tak to len skontrolujeme. |
| |
Keď máme zvolený identifkátor, vygenerujeme SSL certifikát, ktorý bude využívať Shibboleth pre komunikáciu s IdP. Odporúča sa vytvoriť nový certifikát a nepoužíť SSL certifikát webu pretože ten má krátku dobu platnosti. Nevadí ak bude vytvorený certifikát self signed: | Keď máme zvolený identifkátor, vygenerujeme SSL certifikát, ktorý bude využívať Shibboleth pre komunikáciu s IdP. Odporúča sa vytvoriť nový certifikát a nepoužíť SSL certifikát webu pretože ten má krátku dobu platnosti. Nevadí ak bude vytvorený certifikát self signed: |
</mdui:UIInfo> | </mdui:UIInfo> |
</md:Extensions> | </md:Extensions> |
| <!-- V prípade, že požadujete od IdP ďalšie atribúty používateľa, špecifikujete ich v tejto sekcii (nepovinné) --> |
| <md:AttributeConsumingService index="0"> |
| <md:ServiceName xml:lang="en">Nazov mojej sluzby</md:ServiceName> |
| <md:ServiceName xml:lang="sk">My service name</md:ServiceName> |
| <md:ServiceDescription xml:lang="en">Opis mojej sluzby.</md:ServiceDescription> |
| <md:ServiceDescription xml:lang="sk">My service description.</md:ServiceDescription> |
| <md:RequestedAttribute FriendlyName="eppn" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/> |
| <md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/> |
| <md:RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/> |
| <md:RequestedAttribute FriendlyName="sn" Name="urn:oid:2.5.4.4" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/> |
| </md:AttributeConsumingService> |
| |
| |
</md:SPSSODescriptor> | </md:SPSSODescriptor> |
<md:Organization> | <md:Organization> |
</md:EntityDescriptor> | </md:EntityDescriptor> |
</code> | </code> |
| |
| Ak sme v metadatach služby definovali aj ďalšie atribúty musíme skontrolovať, či sú uvedené v mapovaní, teda v súbore ''attribute-map.xml''. Pri ich identifikácii sa riadime podľa OID. |
| |
| Napríklad: |
| |
| <code xml> |
| ... |
| <Attribute name="urn:oid:0.9.2342.19200300.100.1.3" id="mail"/> |
| <Attribute name="urn:oid:2.5.4.42" id="givenName"/> |
| <Attribute name="urn:oid:2.5.4.4" id="sn"/> |
| <Attribute name="urn:oid:2.5.4.3" id="cn"/> |
| <Attribute name="urn:oid:1.3.6.1.4.1.25178.1.2.9" id="schacHomeOrganization"/> |
| ... |
| </code> |
| |
| Atribúty, ktoré IdP poslal službe si bude možné prezrieť na adrese: https://MOJA_DOMENA/Shibboleth.sso/Session |
| |
| Treba to ale nastaviť v konfigurácii Shibboleth service, ktorá teraz nasleduje. |
| |
Konfiguráciu Shibboleth SP service urobíme v súbore ''shibboleth2.xml'': | Konfiguráciu Shibboleth SP service urobíme v súbore ''shibboleth2.xml'': |
</code> | </code> |
| |
Pokiaľ všetko prebehlo správne na adrese https://www.safeid.sk/Shibboleth.sso/Metadata je možné vidieť vygenrované metadata služby podľa požiadaviek. | Pokiaľ všetko prebehlo správne na adrese https://MOJA_DOMENA/Shibboleth.sso/Metadata je možné vidieť vygenrované metadata služby podľa požiadaviek. |
| |
Napriek tomu, že sa na začiatku píše, že sa jedná len o "example metadata" je ich po prekontrolovaní prípadne ich doplnení možné použiť pre registráciu služby. | Napriek tomu, že sa na začiatku píše, že sa jedná len o "example metadata" je ich po prekontrolovaní prípadne ich doplnení možné použiť pre registráciu služby. |
| |
| Súbor s metadatami je potrebné elektronicky podpísať a zaslať mailom na adresu safeid-admin@sanet.sk. Podis musí byť overitelný, napríklad od CA DigiCert. Alternatívne je možné podpísať odosielaný mail (potom nie je potrebné podpisovať metadata v prílohe). |