Nastavitve SimplesamlPHP
Na tem mestu so zbrana priporočila za vzpostavitev simpleSAMLphp IdP-ja. Namenjena so skrbnikom, ki na novo vzpostavljajo ali posodabljajo IdPje. Skrbniki jih lahko uporabijo tudi za preverbo, če je njihov obstoječi IdP pravilno nastavljen in sledi priporočilom.
1 Nastavitev SimplesamlPHP po najnovejših navodilih
Priporočamo, da uporabite najnovejšo verzijo SimplesamlPHP , ki jo prenesete iz uradne spletne strani. Pri vzpostavitvi ali posodabljanju IdPja pa sledite najnovejšim navodilom..
2 Prilagojena predloga za prijavno okno
Prijavno okno vašega prijavnega strežnika (ang. IdP) prilagodite z uporabo čarovnika. (Za dostop čarovnika najprej opravite AAI prijavo)
3 Veljaven SSL certifikat
Vaš strežnik HTTP, na katerem teče prijavni strežnik mora imeti veljaven certifikat, ki ga lahko pridobite na Arnesu. Naročilo certifikata..
4 Ustrezna nastavitev vira metapodatkov
Nastavite ustrezen vir metapodatkov, glede na federacije, v katere ste vključeni. Od izbire je odvisno, do katerih aplikacij bodo imeli vaši uporabniki dostop. Za pomoč pri izbiri se lahko obrnete na Arnes.
Priporočilo Vsi ponudniki identitet, ki ste vključeni v ArnesAAI se vključite še v eduGAIN in s tem omogočite svojim uporabnikom dostop do večih aplikacij.
| Vir metapodatkov | SHA-1 Prstni odtis certifikata | ArnesAAI | eduGAIN | TestFed |
|---|---|---|---|---|
| https://ds.aai.arnes.si/metadata/arnesaai-edugain.signed.xml | 51:CC:76:0A:07:F1:A2:CC:01:98:68:F2:02:93:04:4E:AC:7C:08:22 | |||
| https://ds.aai.arnes.si/metadata/aai.arnes.si.sha256.xml | 28:7B:9A:AA:FF:5A:6E:F1:02:AD:7D:BA:E3:3C:40:59:17:4F:1E:89 | |||
| https://ds.aai.arnes.si/metadata/test-fed.arnes.si.si.signed.xml | 49:64:E4:3D:2C:5B:83:E1:D9:EB:35:90:23:67:A7:E0:0A:CD:6E:B9 |
Primer nastavitve za IdP, ki je vključen v federaciji ArnesAAI in eduGAIN.
Podrobne nastavitve ponudnika identitet in modula za dinamično osveževanje metapodatkov si oglejte v tehnični dokumentaciji.
Izsek nastavite osveževanje metapodatkov v datoteki config/config-metarefresh.php.
...
ini_set('max_execution_time', 3600);
ini_set('memory_limit', '512M');
$config = array(
'sets' => array(
'ArnesAAI-eduGAIN' => array(
'cron' => array('hourly'),
'sources' => array(
array(
'src' => 'https://ds.aai.arnes.si/metadata/arnesaai-edugain.signed.xml',
'validateFingerprint' => '51:CC:76:0A:07:F1:A2:CC:01:98:68:F2:02:93:04:4E:AC:7C:08:22',
'template' => array(
'tags' => array('ArnesAAI-eduGAIN'),
),
),
),
'expireAfter' => 60*60*24*4, // Maximum 4 days cache time.
'outputDir' => 'metadata/ArnesAAI-eduGAIN/',
'outputFormat' => 'flatfile',
),
),
);
V nastavitvah IdP config.php (v mapi /opt/simplesamlphp/config/) je v ta namen potrebno spremeniti blok "metadata.sources", tako kot prikazuje spodnji primer:
...
'metadata.sources' => array(
array('type' => 'flatfile'),
array('type' => 'flatfile', 'directory' => 'metadata/arnes-rules'), #Datoteka s posebnimi pravili za določene SP-je
array('type' => 'flatfile', 'directory' => 'metadata/ArnesAAI-eduGAIN'), #Datoteka s ArnesAAI in eduGAIN metapodatki
),
...
Atributi v imeniku LDAP
Za uspešno prijavo v aplikacije v federacijah ArnesAAI in eduGAIN morajo imeti uporabniki izpolnjeno spodaj navedeno množico atributov z v naprej določenimi zalogami vrednosti.
| Ime atributa | LDAP Shema | Primer zaloge vrednosti | ArnesAAI | eduGAIN |
|---|---|---|---|---|
| displayName | eduPerson | JanezN | ||
| common name (cn) | eduPerson | Janez Novak | ||
| eduPerson | janez.novak@guest.arnes.si | |||
| eduPersonAffiliation | eduPerson | staff | ||
| eduPersonPrimaryAffiliation | eduPerson | staff | ||
| eduPersonScopedAffiliation | eduPerson | staff@univerza.si | ||
| eduPersonPrincipalName | eduPerson | janez.novak@univerza.si | ||
| eduPersonTargetedID | eduPerson | 9ae5696b1a3f468e25aa68f7254bb9c57c569232 | ||
| schacHomeOrganization | schac | univerza.si | ||
| schacHomeOrganizationType | schac | urn:arnes.si:homeOrgType:fakulteta | ||
| schacUUID | schac | 597ae2f6-16a6-1027-98f4-d28b5365dc14 | ||
| schacExpiryDate | schac | 20151030235959Z |
Registracija metapodatkov
Metapodatke svojega ponudnika identitet registrirajte v federacije, katere ste izbrali.
Določene nastavitve morate urediti ob nastavljanju prijavnega strežnika SimplesamlPHP, nekatere pa ob registraciji v registracijskem orodju ArnesAAI. Spodnja tabela prikazuje kontrolni seznam, s katerim lahko preverite, če vaš IdP ustreza zahtevam, in da lahko ustrezno pripravite potrebne podatke za registracijo.
| Zahteva | Vrednosti | Opis | V nastavitvah IdP | Ob registraciji |
|---|---|---|---|---|
| Veljaven SAML certifikat | SHA-1 4KB | / | ||
| Spisek kraljestev (Shibboleth scope) | 'fri.uni-lj.si', 'ff.uni-lj.si' | Zaloga vrednosti vseh domen, ki jih avtenticira vaš IdP. | ||
| Kontakti | tehnični, administrativni, podporni | / | ||
| Organizacijski podatki | Prikazno ime, URL | / | ||
| Podatki o IdPju | Prikazno ime, ključne besede, logotip | Podatki za prikaz na Discovery servisu | ||
| Registracijski podatki | http://aai.arnes.si | Podatki o registrarju metapodatkov, ki je avtomatsko dodan ob registraciji. |
Preizkus delovanja
Preizkusite, če vaš IdP in atributi, ki jih hranite v imeniku LDAP ustrezajo priporočilom za uporabo aplikacij v federacijah ArnesAAI in eduGAIN. Preizkus delovanja za posamezno federacijo izberete s spodnjima gumboma.
Navodila za uporabnike
Pred pričetkom uporabe enotne prijave za svoje uporabnike pripravite stran, kjer lahko najdejo informacije o uporabi enotne prijave.
V strani za pomoč uporabnikom odgovorite na spodnja vprašanja
- Kaj je AAI-račun in kaj mi omogoča?
- Kako na moji organizaciji pridobim AAI-račun?
- Kako se prijavljam v aplikacije?
- Katere aplikacije, ki jih ponuja moja organizacija, Arnes ali tretji ponudnik v federaciji so mi na voljo?
- Na koga na domači organizaciji se lahko obrnem za pomoč?