Zahteve za ponudnike identitet

Za vključitev prijavnega strežnika IdP v ArnesAAI in eduGAIN mora le ta slediti priporočilom Arnesa. Za čas preizkušanja se lahko vključi v testno federacijo (TestFed).


Nastavitve SimplesamlPHP

Na tem mestu so zbrana priporočila za vzpostavitev simpleSAMLphp IdP-ja. Namenjena so skrbnikom, ki na novo vzpostavljajo ali posodabljajo IdPje. Skrbniki jih lahko uporabijo tudi za preverbo, če je njihov obstoječi IdP pravilno nastavljen in sledi priporočilom.

1 Nastavitev SimplesamlPHP po najnovejših navodilih

Priporočamo, da uporabite najnovejšo verzijo SimplesamlPHP , ki jo prenesete iz uradne spletne strani. Pri vzpostavitvi ali posodabljanju IdPja pa sledite najnovejšim navodilom..

2 Prilagojena predloga za prijavno okno

Prijavno okno vašega prijavnega strežnika (ang. IdP) prilagodite z uporabo čarovnika.

3 Veljaven SSL certifikat

Vaš strežnik HTTP, na katerem teče prijavni strežnik mora imeti veljaven certifikat, ki ga lahko pridobite na Arnesu. Naročilo certifikata..

4 Ustrezna nastavitev vira metapodatkov

Nastavite ustrezen vir metapodatkov, glede na federacije, v katere ste vključeni. Od izbire je odvisno, do katerih aplikacij bodo imeli vaši uporabniki dostop. Za pomoč pri izbiri se lahko obrnete na Arnes.

Priporočilo Vsi ponudniki identitet, ki ste vključeni v ArnesAAI se vključite še v eduGAIN in s tem omogočite svojim uporabnikom dostop do večih aplikacij.

Vir metapodatkov SHA-1 Prstni odtis certifikata ArnesAAI eduGAIN TestFed
https://ds.aai.arnes.si/metadata/arnesaai-edugain.signed.xml 51:CC:76:0A:07:F1:A2:CC:01:98:68:F2:02:93:04:4E:AC:7C:08:22
https://ds.aai.arnes.si/metadata/aai.arnes.si.sha256.xml 28:7B:9A:AA:FF:5A:6E:F1:02:AD:7D:BA:E3:3C:40:59:17:4F:1E:89
https://ds.aai.arnes.si/metadata/test-fed.arnes.si.si.signed.xml A5:10:07:CB:39:78:84:E2:71:A8:F0:DB:E7:55:C8:F8:B1:02:44:2D

Primer nastavitve za IdP, ki je vključen v federaciji ArnesAAI in eduGAIN.

Podrobne nastavitve ponudnika identitet in modula za dinamično osveževanje metapodatkov si oglejte v tehnični dokumentaciji.

Izsek nastavite osveževanje metapodatkov v datoteki config/config-metarefresh.php.
...
ini_set('max_execution_time', 3600);
ini_set('memory_limit', '512M');
$config = array(
        'sets' => array(
                'ArnesAAI-eduGAIN' => array(
                        'cron'          => array('hourly'),
                        'sources'       => array(
                                array(
                                        'src' => 'https://ds.aai.arnes.si/metadata/arnesaai-edugain.signed.xml',
                                        'validateFingerprint' => '51:CC:76:0A:07:F1:A2:CC:01:98:68:F2:02:93:04:4E:AC:7C:08:22',
                                        'template' => array(
                                                'tags'  => array('ArnesAAI-eduGAIN'),
                                        ),
                                ),
                        ),
                        'expireAfter'           => 60*60*24*4, // Maximum 4 days cache time.
                        'outputDir'     => 'metadata/ArnesAAI-eduGAIN/',
                        'outputFormat' => 'flatfile',
                ),
        ),
);

V nastavitvah IdP config.php (v mapi /opt/simplesamlphp/config/) je v ta namen potrebno spremeniti blok "metadata.sources", tako kot prikazuje spodnji primer:

...

        'metadata.sources' => array(
                array('type' => 'flatfile'),
                array('type' => 'flatfile', 'directory' => 'metadata/arnes-rules'), #Datoteka s posebnimi pravili za določene SP-je
                array('type' => 'flatfile', 'directory' => 'metadata/ArnesAAI-eduGAIN'), #Datoteka s ArnesAAI in eduGAIN metapodatki
        ),
...

Atributi v imeniku LDAP

Za uspešno prijavo v aplikacije v federacijah ArnesAAI in eduGAIN morajo imeti uporabniki izpolnjeno spodaj navedeno množico atributov z v naprej določenimi zalogami vrednosti.

Vzdrževanje vrednosti atributov

Atributi v imeniku LDAP morajo biti ustrezno posodobljeni in morajo ustrezati dejanski vlogi uporabnika v organizaciji. Pomembno je, da upoštevate v naprej določene zaloge vrednosti posameznih atributov. Z izbiro poljubnih vrednosti za atribute, ki imajo omejeno zalogo vrednosti vaš IdP postane nezdružljiv z ponudniki storitev izven vaše organizacije.

Specifikacija atributov
Ime atributa LDAP Shema Primer zaloge vrednosti ArnesAAI eduGAIN
displayName eduPerson JanezN
common name (cn) eduPerson Janez Novak
mail eduPerson janez.novak@guest.arnes.si
eduPersonAffiliation eduPerson staff
eduPersonPrimaryAffiliation eduPerson staff
eduPersonScopedAffiliation eduPerson staff@univerza.si
eduPersonPrincipalName eduPerson janez.novak@univerza.si
eduPersonTargetedID eduPerson 9ae5696b1a3f468e25aa68f7254bb9c57c569232
schacHomeOrganization schac univerza.si
schacHomeOrganizationType schac urn:arnes.si:homeOrgType:fakulteta
schacUUID schac 597ae2f6-16a6-1027-98f4-d28b5365dc14
schacExpiryDate schac 20151030235959Z

Registracija metapodatkov

Metapodatke svojega ponudnika identitet registrirajte v federacije, katere ste izbrali.

Pomembno

Metapodaki vašega ponudnika identitet morajo zadostiti spodaj navedenim zahtevam, sicer morate nastavitve ustrezno prilagoditi. Priporočamo, da IdP najprej vključite v testno federacijo (TestFed) in izvedete teste, ki so navedeni na zavihku preizkus delovanja. Če so vsi testi uspešni, lahko IdP vključite v produkcijsko federacijo.

Določene nastavitve morate urediti ob nastavljanju prijavnega strežnika SimplesamlPHP, nekatere pa ob registraciji v registracijskem orodju ArnesAAI. Spodnja tabela prikazuje kontrolni seznam, s katerim lahko preverite, če vaš IdP ustreza zahtevam, in da lahko ustrezno pripravite potrebne podatke za registracijo.

Zahteva Vrednosti Opis V nastavitvah IdP Ob registraciji
Veljaven SAML certifikat SHA-1 4KB /
Spisek kraljestev (Shibboleth scope) 'fri.uni-lj.si', 'ff.uni-lj.si' Zaloga vrednosti vseh domen, ki jih avtenticira vaš IdP.
Kontakti tehnični, administrativni, podporni /
Organizacijski podatki Prikazno ime, URL /
Podatki o IdPju Prikazno ime, ključne besede, logotip Podatki za prikaz na Discovery servisu
Registracijski podatki http://aai.arnes.si Podatki o registrarju metapodatkov, ki je avtomatsko dodan ob registraciji.

Preizkus delovanja

Preizkusite, če vaš IdP in atributi, ki jih hranite v imeniku LDAP ustrezajo priporočilom za uporabo aplikacij v federacijah ArnesAAI in eduGAIN. Preizkus delovanja za posamezno federacijo izberete s spodnjima gumboma.


Navodila za uporabnike

Pred pričetkom uporabe enotne prijave za svoje uporabnike pripravite stran, kjer lahko najdejo informacije o uporabi enotne prijave.

Obvestite svoje uporabnike

Svoje uporabnike obvestite o možnostih uporabe AAI-računa in jim omogočite prijavo v aplikacije za sodelovanje, ki jih ponuja Arnes in drugi člani federacij ArnesAAI in eduGAIN.

Spisek aplikacij
V strani za pomoč uporabnikom odgovorite na spodnja vprašanja
  • Kaj je AAI-račun in kaj mi omogoča?
  • Kako na moji organizaciji pridobim AAI-račun?
  • Kako se prijavljam v aplikacije?
  • Katere aplikacije, ki jih ponuja moja organizacija, Arnes ali tretji ponudnik v federaciji so mi na voljo?
  • Na koga na domači organizaciji se lahko obrnem za pomoč?