Rozdiely

Tu môžete vidieť rozdiely medzi vybranou verziou a aktuálnou verziou danej stránky.

--- install-sp-shibboleth [24. 07. 2019 10:35]
jsilaci@umb.sk
+++ install-sp-shibboleth [25. 07. 2019 10:21]
jsilaci@umb.sk
@@ Riadok 49: / Riadok 49: @@
 Pre službu je potrebné zvoliť jednoznačný identifikátor. Odporúčaný postup je taký, že ak sa služba nachádza napríklad na doméne https://www.mojweb.sk tak identifikátor bude https://www.mojweb.sk/shibboleth. Pre účely tohto návodu sa bude používať názov domény MOJA_DOMENA aby bolo ľahko identifikovateľné, čo treba nahradiť.
+> Je možné, že certifikát vygeneroval inšalátor, tak to len skontrolujeme.
 Keď máme zvolený identifkátor, vygenerujeme SSL certifikát, ktorý bude využívať Shibboleth pre komunikáciu s IdP. Odporúča sa vytvoriť nový certifikát a nepoužíť SSL certifikát webu pretože ten má krátku dobu platnosti. Nevadí ak bude vytvorený certifikát self signed:
@@ Riadok 94: / Riadok 96: @@
       </mdui:UIInfo>
     </md:Extensions>
+    <!-- V prípade, že požadujete od IdP ďalšie atribúty používateľa, špecifikujete ich v tejto sekcii (nepovinné) -->
+    <md:AttributeConsumingService index="0">
+      <md:ServiceName xml:lang="en">Nazov mojej sluzby</md:ServiceName>
+      <md:ServiceName xml:lang="sk">My service name</md:ServiceName>
+      <md:ServiceDescription xml:lang="en">Opis mojej sluzby.</md:ServiceDescription>
+      <md:ServiceDescription xml:lang="sk">My service description.</md:ServiceDescription>
+      <md:RequestedAttribute FriendlyName="eppn" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+      <md:RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+      <md:RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+      <md:RequestedAttribute FriendlyName="sn" Name="urn:oid:2.5.4.4" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+    </md:AttributeConsumingService>
   </md:SPSSODescriptor>
   <md:Organization>
@@ Riadok 110: / Riadok 125: @@
 </md:EntityDescriptor>
 </code>
+Ak sme v metadatach služby definovali aj ďalšie atribúty musíme skontrolovať, či sú uvedené v mapovaní, teda v súbore ''attribute-map.xml''. Pri ich identifikácii sa riadime podľa OID.
+Napríklad:
+<code xml>
+    ...
+    <Attribute name="urn:oid:0.9.2342.19200300.100.1.3" id="mail"/>
+    <Attribute name="urn:oid:2.5.4.42" id="givenName"/>
+    <Attribute name="urn:oid:2.5.4.4" id="sn"/>
+    <Attribute name="urn:oid:2.5.4.3" id="cn"/>
+    <Attribute name="urn:oid:1.3.6.1.4.1.25178.1.2.9" id="schacHomeOrganization"/>
+    ...
+</code>
+Atribúty, ktoré IdP poslal službe si bude možné prezrieť na adrese: https://MOJA_DOMENA/Shibboleth.sso/Session
+Treba to ale nastaviť v konfigurácii Shibboleth service, ktorá teraz nasleduje.
 Konfiguráciu Shibboleth SP service urobíme v súbore ''shibboleth2.xml'':
@@ Riadok 186: / Riadok 219: @@
 </code>
-Pokiaľ všetko prebehlo správne na adrese https://www.safeid.sk/Shibboleth.sso/Metadata je možné vidieť vygenrované metadata služby podľa požiadaviek.
+Pokiaľ všetko prebehlo správne na adrese https://MOJA_DOMENA/Shibboleth.sso/Metadata je možné vidieť vygenrované metadata služby podľa požiadaviek.
 Napriek tomu, že sa na začiatku píše, že sa jedná len o "example metadata" je ich po prekontrolovaní prípadne ich doplnení možné použiť pre registráciu služby.
+Súbor s metadatami je potrebné elektronicky podpísať a zaslať mailom na adresu safeid-admin@sanet.sk. Podis musí byť overitelný, napríklad od CA DigiCert. Alternatívne je možné podpísať odosielaný mail (potom nie je potrebné podpisovať metadata v prílohe).