KNF:Shibboleth-sp: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
Regel 18: Regel 18:
 
<Attribute name="nlEduPersonHomeOrganization" id="nlEduPersonHomeOrganization"/>
 
<Attribute name="nlEduPersonHomeOrganization" id="nlEduPersonHomeOrganization"/>
 
</syntaxhighlight>
 
</syntaxhighlight>
  +
   
 
====config.xml====
 
====config.xml====
Regel 44: Regel 45:
 
</MetadataProvider>
 
</MetadataProvider>
 
</syntaxhighlight>
 
</syntaxhighlight>
  +
  +
====Certificaten====
  +
Stel bij het installeren altijd nieuwe certificaten in. Dit kan via het bij de installatie meegeleverde '''shib-keygen''' file.
  +
Deze doorloopt een wizard en de certificaten die hieruit komen dienen in de Shibboleth map geplaatst te worden. Stel ook de juiste rechten in op deze certificaten zodat hier geen misbruik van gemaakt kan worden. Na het vervangen dient Shibboleth herstart te worden.

Versie van 23 jan 2014 15:49

Installatie

Configuratie

De Kennisnet Federatie vraagt een aantal specifieke configuraties aan Shibboleth.
LET OP! Volgende configuraties zijn toevoegingen of wijzigingen.

attribute-map.xml

    <!-- standaard entree attributen controleer shibd.log of er attributen niet zijn gemapped -->
    <Attribute name="entree_uid" id="entree_uid"/>
    <Attribute name="uid" id="uid"/>
    <Attribute name="eduPersonAffiliation" id="eduPersonAffiliation"/>
    <Attribute name="givenName" id="givenName"/>
    <Attribute name="nlEduPersonHomeOrganizationId" id="nlEduPersonHomeOrganizationId"/>
    <Attribute name="nlEduPersonHomeOrganization" id="nlEduPersonHomeOrganization"/>


config.xml

    <!-- Voer een entityID in voor uw applicatie (meestal unieke url van de dienst) -->
    <ApplicationDefaults entityID="http://domainname.com"
                         REMOTE_USER="eppn persistent-id targeted-id"
                         <!-- AJP wordt voor het attribuut geplaatst. uid wordt bijvoorbeeld AJP_uid. Dit is niet verplicht. -->
                         attributePrefix="AJP_">

    <!-- Standaard keuzemenu voor Identity Provider uitzetten en direct naar Kennisnet Federatie wijzen.
         Onderstaande configuratie is voor staging. Bij livegang moet deze waarde aangepast te worden naar aselect.entree.kennisnet.nl -->
    <SSO entityID="aselect-s.entree.kennisnet.nl">
         SAML2
    </SSO>

    <!-- Voer de juiste contactgegevens in -->
    <Errors supportContact="entree@kennisnet.nl"
        logoLocation="/shibboleth-sp/logo.jpg"
        styleSheet="/shibboleth-sp/main.css"/>

    <!-- Definieer de locatie waar de metadata van Kennisnet Federatie opgehaald dient te worden. 
         Bij livegang moet de uri aselect.entree.kennisnet.nl ingesteld worden. -->
        <MetadataProvider type="XML" uri="https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2/"
            backingFilePath="entree-staging-metadata.xml" reloadInterval="7200">
        </MetadataProvider>

Certificaten

Stel bij het installeren altijd nieuwe certificaten in. Dit kan via het bij de installatie meegeleverde shib-keygen file. Deze doorloopt een wizard en de certificaten die hieruit komen dienen in de Shibboleth map geplaatst te worden. Stel ook de juiste rechten in op deze certificaten zodat hier geen misbruik van gemaakt kan worden. Na het vervangen dient Shibboleth herstart te worden.