Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migrated to Confluence 5.3

Shibbolointi vain korkeakoulun omaa IdP:tä vasten (ei siis Haka)

Shibbolethin Service Providerin (SP) asennus ja konfigurointi

Kun haluat shibboloida oman sovelluksesi, asennat ensin SP:n. Mikäli se on saatavissa helposti asennettava pakettina, se tapahtuu seuraavasti (esimerkkinä RHEL):

Code Block
yum install shibboleth # Huom! CSC:n ympäristössä yum install shibboleth-CSC

Shibbolethin konfigurointi tapahtuu menemällä hakemistoon /etc/shibboleth ja editoimalla tiedostoa shibboleth2.xml. Esimerkkikonfiguraatiossa pitää muuttaa muutama kohta:

EntityId:n asetus. EntityId identifioi shibboloitavan sovelluksen. Käytä sovelluspalvelimen URL:ia ja lisää siihen /shibboleth loppuun. Esim. https://krok01.csc.fi + /shibboleth = https://krok01.csc.fi/shibboleth

Code Block
 <ApplicationDefaults entityID="https://krok01.csc.fi/shibboleth"
       REMOTE_USER="eppn persistent-id targeted-id">

SSO-tieto (ApplicationDefaults > Sessions > SSO)

Mikäli SP liitetään vain yhteen (korkeakoulun) IdP:hen, ei konfiguroida DS:ää (Diecovery Service, eli se organisaatiolistan tuottavaa palvelua; vanhalta nimeltään WAYF, eli Where Are You From):

Code Block
<SSO entityID="https://testidp.csc.fi/shibboleth"/>

Mikäli SP liittyy vaikkapa Haka-federaatioon tai vastaavaan, konfigurointi on erilainen:

Code Block
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://testsp.funet.fi/shibboleth/WAYF">
	SAML2
</SSO>

Lopuksi IdP:n metadatan haku SP:lle:

Code Block
<MetadataProvider type="XML"
   uri="http://haka.funet.fi/metadata/haka_test_metadata_signed.xml"
   backingFilePath="/etc/shibboleth/haka_test_metadata_signed.xml" reloadInterval="7200" />

Konfiguraation tarkistus: 

Code Block
/usr/sbin/shibd -t shibboleth2.xml
overall configuration is loadable, check console for non-fatal problemsoverall configuration is loadable, 
check console for non-fatal problems

Hae SP:si metadata (https://krok01.csc.fi/Shibboleth.sso/Metadata), talleta se levylle ja lähetä IdP:stä vastaaville henkilöille. Sovi heidän kanssaan, mitä attribuutteja tarvitset. Voi olla, että joudut editoimaan attribute-map.xml-tiedostoa, mikäli kyseinen attribuutti on kommentoitu kyseisessä tiedostossa.

Apachen asennus ja konfigurointi

Code Block
yum install httpd
yum install mod_ssl

TODO

TODO: Apachen ja sovelluspalvelimen välisen liikenteen konfigurointi (esimerkkinä Tomcat)

Tomcat, WebLogic ja GlassFish.

TODO: Testaus

(Logitus)


Ohessa vielä HOWTOHakaShibboleth ohje.

HOWTOHakaShibboleth.docx