KNF:Shibboleth-sp: verschil tussen versies
Regel 1: | Regel 1: | ||
{{Talen}} |
{{Talen}} |
||
<br/> |
<br/> |
||
⚫ | |||
+ | Deze handleiding bevat een stappenplan om Shobboleth in te zetten als Service Provider Provider en aan Entree Federatie te koppelen. |
||
+ | |||
⚫ | |||
+ | Voor de installatie kunnen de stappen op de website van Shibboleth gevolgd worden: |
||
*[https://wiki.shibboleth.net/confluence/display/SHIB2/Installation Installatie documentatie Shibboleth] |
*[https://wiki.shibboleth.net/confluence/display/SHIB2/Installation Installatie documentatie Shibboleth] |
||
*[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPConfiguration Configuratie referentie] |
*[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPConfiguration Configuratie referentie] |
||
− | == |
+ | ==Stap 2: Configuratie== |
− | + | Voor het realiseren van een koppeling met Entree Federatie zijn een aantal aanpassingen in de configuratie van Shibboleth nodig.<br/> |
|
⚫ | |||
− | === |
+ | ===Aanpassen attribute-map.xml=== |
⚫ | |||
+ | De aanpassingen staan beschreven in commentaar. |
||
<syntaxhighlight lang="xml"> |
<syntaxhighlight lang="xml"> |
||
<!-- standaard entree attributen controleer shibd.log of er attributen niet zijn gemapped --> |
<!-- standaard entree attributen controleer shibd.log of er attributen niet zijn gemapped --> |
Versie van 20 aug 2018 14:05
Nederlands | English |
Deze handleiding bevat een stappenplan om Shobboleth in te zetten als Service Provider Provider en aan Entree Federatie te koppelen.
Stap 1: Installatie
Voor de installatie kunnen de stappen op de website van Shibboleth gevolgd worden:
Stap 2: Configuratie
Voor het realiseren van een koppeling met Entree Federatie zijn een aantal aanpassingen in de configuratie van Shibboleth nodig.
Aanpassen attribute-map.xml
LET OP! De aanpassingen in de voorbeeld code zijn toevoegingen en/of wijzigingen.
De aanpassingen staan beschreven in commentaar.
<!-- standaard entree attributen controleer shibd.log of er attributen niet zijn gemapped -->
<Attribute name="entree_uid" id="entree_uid"/>
<Attribute name="uid" id="uid"/>
<Attribute name="eduPersonAffiliation" id="eduPersonAffiliation"/>
<Attribute name="givenName" id="givenName"/>
<Attribute name="nlEduPersonHomeOrganizationId" id="nlEduPersonHomeOrganizationId"/>
<Attribute name="nlEduPersonHomeOrganization" id="nlEduPersonHomeOrganization"/>
shibboleth.xml
<!-- Voer een entityID in voor uw applicatie (meestal unieke url van de dienst) -->
<ApplicationDefaults entityID="http://domainname.com"
REMOTE_USER="eppn persistent-id targeted-id"
<!-- AJP wordt voor het attribuut geplaatst. uid wordt bijvoorbeeld AJP_uid. Dit is niet verplicht. -->
attributePrefix="AJP_">
<!-- Standaard keuzemenu voor Identity Provider uitzetten en direct naar Entree Federatie wijzen.
Onderstaande configuratie is voor staging. Bij livegang moet deze waarde aangepast te worden naar aselect.entree.kennisnet.nl -->
<SSO entityID="aselect-s.entree.kennisnet.nl">
SAML2
</SSO>
<!-- Voer de juiste contactgegevens in -->
<Errors supportContact="entree@kennisnet.nl"
logoLocation="/shibboleth-sp/logo.jpg"
styleSheet="/shibboleth-sp/main.css"/>
<!-- Definieer de locatie waar de metadata van Entree Federatie opgehaald dient te worden.
Bij livegang moet de uri aselect.entree.kennisnet.nl ingesteld worden. -->
<MetadataProvider type="XML" uri="https://aselect-s.entree.kennisnet.nl/openaselect/profiles/saml2/"
backingFilePath="entree-staging-metadata.xml" reloadInterval="7200">
</MetadataProvider>
LET OP: Entree Federatie ververst elke 4 uur de metadata. Een wijziging van het entityID wordt echter niet automatisch opgepakt. Als je op een later tijdstip het entityID in de metadata wijzigt neem dan contact op met de servicedesk van Kennisnet: https://support.kennisnet.org/
Certificaten
Stel bij het installeren altijd nieuwe certificaten in. Dit kan via het bij de installatie meegeleverde shib-keygen file. Deze doorloopt een wizard en de certificaten die hieruit komen dienen in de Shibboleth map geplaatst te worden. Stel ook de juiste rechten in op deze certificaten zodat hier geen misbruik van gemaakt kan worden. Na het vervangen dient Shibboleth herstart te worden.