IDP:n asennus. 16-17.3.2010 Shibboleth asennuskoulutus Janne Lauros. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Samankaltaiset tiedostot
Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Service Provider. Shibboleth-asennuskoulutus Timo Mustonen. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

1 Virtu IdP- palvelimen testiohjeet

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

Käytin tehtävän tekemiseen Xubuntu käyttöjärjestelmää aikaisemmin tekemältäni LiveUSB-tikulta.

Lohtu-projekti. Ylläpitäjän dokumentti. Versiohistoria: Ensimmäinen versio Andreas Asuja

Haka MFA-työpaja

HY:n alustava ehdotus käyttäjähallintotuotteesta

HY:n alustava ehdotus käyttäjähallintotuotteesta

Tikon Ostolaskujenkäsittely versio SP1

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Security server v6 installation requirements

Lab SBS3.FARM_Hyper-V - Navigating a SharePoint site

HAMINETTI WLAN LIITTYMÄN KÄYTTÖÖNOTTO-OHJE

Näin asennat MS-DOS käyttöjärjestelmän virtuaalikoneeseen

Lab A1.FARM_Hyper-V.v3

Security server v6 installation requirements

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Maventa Connector Käyttöohje

HY:n alustava ehdotus käyttäjähallintotuotteesta

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka

Harjoituksen aiheena on tietokantapalvelimen asentaminen ja testaaminen. Asennetaan MySQL-tietokanta. Hieman linkkejä:

Viestit-palvelun viranomaisliittymän ohjelmointiohje. Java-esimerkki

Simulaattorin asennus- ja käyttöohje

LINUX-HARJOITUS, MYSQL

Federoidun identiteetinhallinnan

Valppaan asennus- ja käyttöohje

Käyttöopas. ADAP-KOOL AK-ST 500 Oy Danfoss Ab / Kylmäosasto 1

HY:n ehdotus käyttäjähallintotuotteesta

Esimerkkinä - ilmainen blogi-julkaisujärjestelmä. WordPress:stä on myös palvelimelle asennettava versio (WordPress.

SSH Secure Shell & SSH File Transfer

Varmennepalvelu - testipenkki. Kansallisen tulorekisterin perustamishanke

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Asennusohje. Sahara-ryhmä. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

FinFamily Installation and importing data ( ) FinFamily Asennus / Installation

Sähköpostitilin käyttöönotto

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

BaseMidlet. KÄYTTÖOHJE v. 1.00

Tikon Ostolaskujenkäsittely versio 6.2.0

Liityntäpalvelimen asentaminen

Ylläpitodokumentti. Ohjelmistotuotantoprojektin tietojärjestelmä OhtuTie

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

Mathcad Flexnet lisenssipalvelimen asennus

You can check above like this: Start->Control Panel->Programs->find if Microsoft Lync or Microsoft Lync Attendeed is listed

Sinkka Projekti Sivu 1 (6) Projektin tiedostokuvaus dokumentti

Kieliteknologian ATK-ympäristö Toinen luento

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Network Video Recorder. Pika-asennusohje

Aloita oman blogisi luominen (järjestelmä lupaa sen tapahtuvan sekunneissa ;-))

2 Asennuksen poistaminen Uninstall.sh Esiasetukset Sivuston poisto Mush Mush.sh Komennot...

Sähköpostitilin luonti

Sähköpostitilin käyttöönotto. Versio 2.0

Asennusohjeet HIITed palvelun asentamiseen

Ohjelmisto on selainpohjaisen käyttöliittymän tarjoava tietokantajärjestelmä merikotkien seurantaan WWF:n Merikotka-työryhmän tarpeisiin.

GEANT-tietosuojakäytäntö Data Protection Code of Conduct

Bitnami WordPress - Asenna WordPress koneellesi. Jari Sarja

Mathcad 14.0 Single User -asennus

HY:n ehdotus käyttäjähallintotuotteesta

Autentikoivan lähtevän postin palvelimen asetukset

1. NetBeans-ohjelman asennus ja käyttöönotto pva

Unix-perusteet. Tiedosto-oikeudet

VERKKOKÄYTTÄJÄN OPAS. Tulostuslokin tallennus verkkoon. Versio 0 FIN

Päivitys käyttäen USB-tikkua

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Käyttöohje Planeetta Internet Oy

MY STANDARD -OHJE. mystandard.hansaworld.com. Standard ERP Pilvipalvelu Sivu 1/6

Mikä on Discovery Service?

Lync Online. Järjestelmänvalvojan perusopas

Uloskirjautuminen Shibbolethissa

Poista tietokoneessasi olevat Javat ja asenna uusin Java-ohjelma

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Office ohjelmiston asennusohje

Choose Finland-Helsinki Valitse Finland-Helsinki

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

TIETOKONE JA VERKOT IT PC & NETWORK SUPPORT TAITAJA 2001 LAHTI KÄYTTÖJÄRJESTELMIEN JA OHJELMISTOJEN ASENTAMINEN SEKÄ KONFIGUROINTI

Tulostimen asentaminen Software and Documentation -CD-levyn avulla tietokoneeseen ja suorita asennusohjelma uudelleen.

Messenger. Novell 1.0 NOVELL MESSENGERIN OHJEET. PIKAOPAS

Järjestelmän kriittisimmille toiminnallisuuksille (listattu alla), toteutetaan 1

HY:n ehdotus käyttäjähallintotuotteesta

1. Luo tunnus Autodeskin opiskelijasivustoon oppilaitoksen antamalla sähköpostiosoitteella -

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

Visma Nova. Visma Nova ASP käyttö ja ohjeet

Ohjeet e kirjan ostajalle

eduroamin käyttöohje Windows

Linux - käyttöoikeudet

Apple Mail. Käynnistäkää Apple Mail-ohjelma. Valitkaa Aloitusvalikosta sähköpostitilin tarjoajaksi Lisää muu sähköpostitili (Other Mail Account..

Tulostimen asentaminen Software and Documentation -CD-levyn avulla

1. Adobe Digital Editions ohjelman käyttöönotto

Pika-asennusohjeet Suomeksi

OHJEET WORDPRESS-BLOGIN LUOMISEEN JA TAVALLISIMPIIN BLOGITOIMINTOIHIN

Mikäli olet saanut e-kirjan latauslinkin sähköpostilla, seuraa näitä ohjeita e-kirjan lataamisessa.

JulkICT Arkkitehtuuripankki - QPR EnterpriseArchitect asennusohje

YHTEYDEN OTTAMINEN CSC:N KONEELLE HIPPU

The necessary product key can be found in the hand out given to you.

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Tapahtumakalenteri & Jäsentietojärjestelmä Ylläpito

Transkriptio:

IDP:n asennus 16-17.3.2010 Shibboleth asennuskoulutus Janne Lauros CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Vaiheet Virtuaalikoneen ympäristö Shibboleth Idp 2.1.5:sen asennus Shibboleth Idp:n konfigurointi Metadata provider määritykset Käyttäjätunnistus määritykset Attribuutti määritykset

Ennen asentamista Autentikointimetodi ja lähde LDAP, SQL-tietokanta Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS ) Uusi autentikointijärjestelmä (yllämainitut, Tomcat forms ) Shibbolethin oma (LDAP) Attribuuttivarasto LDAP, SQL-tietokanta Mitä attribuutteja löytyy ja täyttyykö tarve

Asentaminen Idp on 2.4 Servlet, vaatii siis isännäkseen Servlet Containerin Ensin sovelluspalvelin toimintaan Esim. Tomcat + Java Apachen voi laittaa Tomcatin eteen halutessaan

Verkkoyhteydet IdP:ssä kaksi palvelua ulospäin Käyttäjille tunnistautumista varten SP-palvelimille joitakin profiileja varten 443 auki maailmalle Käyttäjät tulevat selaimilla Normaali-https 8443 voi sallia SP-kohtaisesti SP-palvelimet mm. hakevat attribuutteja tietyissä tilanteissa Palvelimet tunnistavat toisensa varmenteiden avulla

Virtuaalikoneen ympäristö Virtuaalikoneen käyttäjätunnus on root ja salasana password. Ensimmäisen käynnistyksen yhteydessä asetetaan virtuaalikoneen IP etc. asetukset kohdilleen setupvm komennolla. Osallistujanumerosi Idp:lle on 1 ja näppäimistösi on todennäköisesti suomalainen. [root@idp1 ~]# setupvm Shibboleth Install Fest VM Image Setup ############################################ Please enter your participation number: 1 These and more keyboard layouts are available: by, cf, croat, cz, de, de_ch-latin1, dk, es, et, fi, fr_ch, gr, il, it, lt, mk, nl, no, pl, pt, ru, se-latin1, sg, slovene, sv-latin1, ua, uk, us Please enter your keyboard layout [default: us]: fi

Shibboleth Idp:n asennus Idp asennetaan virtuaalikoneelta löytyvästä.zip tiedostosta. [root@idp1 ~]# unzip -d /var/tmp/ /opt/installfest/distro/shibboleth-identityprovider-2.1.5-bin.zip [root@idp1 ~]# cd /var/tmp/shibboleth-identityprovider-2.1.5/ [root@idp1 shibboleth-identityprovider-2.1.5]# chmod +x install.sh [root@idp1 shibboleth-identityprovider-2.1.5]#./install.sh Where should the Shibboleth Identity Provider software be installed? [/opt/shibboleth-idp] /opt/shibboleth-idp What is the fully qualified hostname of the Shibboleth Identity Provider server? [idp.example.org] idp1.example.org A keystore is about to be generated for you. Please enter a password that will be used to protect it. password BUILD SUCCESSFUL Total time: 1 minute 35 seconds

Shibboleth Idp:n asennus Idp asennuksen hakemistot. [root@idp1 ~]# cd /opt/shibboleth-idp [root@idp1 shibboleth-idp]# ls bin conf credentials lib logs metadata war muutama työkalu Idp:n testaamiseen - Idp:n configurointi tiedostot - Idp:n private key ja vastaava sertifikaatti kirjastot, huom. sisältää endorsed hakemiston Idp:n logit - Idp:n metadata hakemisto, tänne tallettuu asennuksen yhteydessä luotu metadata. Idp:n deployattava idp.war tiedosto

Konfiguraatiot relying-party.xml Yleiset asetukset mm. miten keskustellaan eri SP:den kanssa handler.xml Tuetut viestinvaihto- ja autentikointimekanismit logging.xml Logien asetukset attribute-filter.xml Mitä attribuutteja luovutetaan millekin SP:lle attribute-resolver.xml Attribuuttien haun ja luonnin asetukset

Shibboleth Idp:n asennus Kerrotaan tomcatille meidän idp:stä: [root@idp1 ~]# cd /opt/tomcat/conf/catalina/localhost/ [root@idp1 localhost]# nano idp.xml <Context docbase="/opt/shibboleth-idp/war/idp.war" privileged="true" antiresourcelocking="false" antijarlocking="false" unpackwar="false" />

Shibboleth Idp:n asennus Idp:n asetukset server.xml failissa (esiasetetut) [root@idp1 ~]# more /opt/tomcat/conf/server.xml <Service name="catalina"> <Connector port="443" address="10.0.1.1" maxhttpheadersize="8192" maxsparethreads="75" scheme="https" secure="true" sslprotocol="tls" SSLEnabled="true" keystorefile="/opt/shibboleth-idp/credentials/idp.jks" keystorepass="password" trustorefile="/opt/shibboleth-idp/credentials/idp.jks" trustorepass="password" truststorealgorithm="delegatetoapplication" />

Shibboleth Idp:n asennus Idp:n asetukset server.xml failissa (esiasetetut).. jatkuu [root@idp1 ~]# more /opt/tomcat/conf/server.xml... <Connector port="8443" address="10.0.1.1" maxhttpheadersize="8192" maxsparethreads="75" scheme="https" secure="true" clientauth="want" sslprotocol="tls" SSLEnabled="true" keystorefile="/opt/shibboleth-idp/credentials/idp.jks" keystorepass="password" trustorefile="/opt/shibboleth-idp/credentials/idp.jks" trustorepass="password" truststorealgorithm="delegatetoapplication" />

Shibboleth Idp:n asennus Ohjataan tomcat käyttämään Idp:n endorsed hakemistoa [root@idp1 ~]# cd /opt/tomcat/ [root@idp1 tomcat]# ln -fs /opt/shibboleth-idp/lib/endorsed endorsed

Shibboleth Idp:n asennus Jälkihoito Kopioidaan vielä ennaltamääritellyt avaimet asennuksessa luotujen tilalle: [root@idp1 ~]# cp /opt/installfest/idps/idp1/idp.* /opt/shibboleth-idp/credentials/ cp: overwrite `/opt/shibboleth-idp/credentials/idp.crt'? y cp: overwrite `/opt/shibboleth-idp/credentials/idp.jks'? y cp: overwrite `/opt/shibboleth-idp/credentials/idp.key'? y Kopioidaan myös sp2.example.org:in metadata [root@idp1 ~]# cp /opt/installfest/sps/sp2/*.xml /opt/shibboleth-idp/metadata/ Käynnistä Idp uudelleen Nyt olemme valmiit muokkaamaan Idp keskustelemaan sp2.example.org:in kanssa.

Shibboleth Idp:n konfigurointi Logit Metadata Käyttäjätunnistus Attribuutit

Logit Logitasot määritellään SHIB_HOME/conf/logging.xml failissa Logitasot ovat TRACE, DEBUG, INFO, WARN ja ERROR Useimmissa tapauksissa logitasot voidaan määritellä java pakettien nimien mukaan hierarkisesti Idp:tä ei tarvitse uudelleenkäynnistää. Idp tarkistaa logitasot 5 minuutin välein Logit kirjoitetaan oletuksena SHIB_HOME/logs hakemistoon idp-process.log päälogi. Tästä kaivetaan yleensä ongelmat esiin. idp-audit.log logitus ulosmenevästä informaatiosta idp-access.log logitetaan kaikki käyttäjät

Logit Nosta Shibbolethin logi DEBUG tasolle: [root@idp1 conf]# cd /opt/shibboleth-idp/conf/ [root@idp1 conf]# nano logging.xml <!-- Logs IdP, but not OpenSAML, messages --> <logger name="edu.internet2.middleware.shibboleth"> <level value="debug" /> </logger> Uudelleenkäynnistä Idp ja ota tuntumaa logeihin

Metadata Tavoitteena on ottaa sp2.example.org:in metadata käyttöön Metadata (kertausta) kuvaa siis SAML entiteetin konfiguraation, palveluosoitteet ja käytetyt certifikaatit Idp:n käyttämä metadata määritellään SHIB_HOME/conf/relying_party.xml tiedoston MetadataProvider osiossa SHIB_HOME/conf/relying_party.xml:ssä määritellään myös kommunikointiprofiilit (anonymous,default ja specific) mutta niihin palataan myöhemmin

Metadata Metadata luetaan ketjutetusti mahdollisesti useammasta lähteestä Chaining Metadata Provider Sisältää yhden tai useamman Metadata Provider elementin yhdistäen ne yhdeksi kokonaisuudeksi Jos yksittäinen entity löytyy useammasta lähteestä vain ensimmäinen on voimassa Filesystem Metadata Provider Lukee metadatan tiedostojärjestelmästä. File Backed HTTP Metadata Provider Lukee metadatan http tai https osoitteesta ja tallettaa backupin tiedostojärjestelmään. Default cachetus 48min. HTTP Metadata Provider Lukee metadatan http tai https osoitteesta. Default cachetus 48min. Inline Metadata Provider Copy-paste metadata provideri..

Metadata Metadatan lukemiseen voidaan lisätä tarkistuksia metadatan allekirjoitukselle lisäämällä Metada Filter elementti Metadata Provideriin. Chaining Metadata Filter Sisältää yhden tai useamman Metadata Filterin suorittaen ne järjestyksessä Schema Validation Filter Validoi metadatan annettua XML schemaa vasten Required validuntil Filter Tarkistaa että metadatan root elementissä on validuntil attribuutti ja että sen arvo on pienempi kuin annettu arvo (valinnainen tarkastus)

Metadata Metadatan lukemiseen voidaan lisätä tarkistuksia metadatan allekirjoitukselle lisäämällä Metada Filter elementti Metadata Provideriin. Signature Validation Filter Tarkistaa metadatan XML allekirjoituksen Entity Role WhiteList Filter Mahdollisuus Idp:lle poistaa sille turhat Idp entityt metadatasta

Metadata Lisää sp2.example.org:in metadata relying_party.xml:ään [root@idp1 ~]# cd /opt/shibboleth-idp/conf/ [root@idp1 conf]# nano relying-party.xml <MetadataProvider id="sp2" xsi:type="filesystemmetadataprovider xmlns="urn:mace:shibboleth:2.0:metadata metadatafile="/opt/shibboleth-idp/metadata/sp2-metadata.xml" /> Uudelleen käynnistä Idp, seuraa logeista onnistuiko sp2 metadatan käyttöönotto Mene selaimella osoitteeseen https://sp2.example.org/secure ja tutki logeista mitä tapahtuu. Mikä menee vielä pieleen?

Metadata Lisätehtävä: Käynnistä virtuaalikone ShibInstallFest-Test-IdP-DS. Määrittele File Backed Metadata Provider (https://spaces.internet2.edu/display/shib2/idpmetadataprovider) testsp2:selle jonka metadatat voi lukea osoitteesta http://testsp2.example.org/metadata.xml Katso logeista ja levypinnalta että metadatan luku onnistuu

Käyttäjätunnistus RemoteUser Username/Password (LDAP/Kerberos) IP osoite Oma JAAS moduli

Käyttäjätunnistus Tavoitteena harjoituksessa on määritellä Username/Password pohjainen LDAP käyttäjätunnistus LoginHandler elementti määritellään SHIB_HOME/conf/handler.xml tiedostossa [root@idp1 ~]# cd /opt/shibboleth-idp/conf/ [root@idp1 conf]# nano handler.xml Poista RemoteUser tyypinen LoginHandler, aktivoi UsernamePassword LoginHandler

Käyttäjätunnistus Muokkaa UsernamePassword handlerin konfiguraatiota (jaasconfigurationlocation), lisätään LDAP:in tiedot: edu.vt.middleware.ldap.jaas.ldaploginmodule required host="127.0.0.1" base="ou=people,dc=example,dc=org" port="10389" userfield="uid"; Mene selaimella osoitteeseen https://sp2.example.org/secure ja tutki logeista mitä tapahtuu. Käyttäjätunnus on student1 ja salasana password. Mitä puuttuu vielä?

Käyttäjätunnistus Autentikointimetodin yhteydessä voidaan määritellä authenticationduration. Oletusarvo on 30 minuuttia. Käyttäjä joutuu uudelleen autentikoitumaan mennessään uudelle SP :lle jos sessio Idp:hen tai authenticationduration on lauennut. SP voi ehdottaa autentikointimetodeja. Jos voimassa oleva ei tyydytä suoritetaan uusi autentikointi käyttäen haluttua metodia.

Käyttäjätunnistus Lisätehtävä: Lisää IP pohjainen tunnistus. Määrittele että omasta IP osoitteestasi (10.0.3.1) tuleva käyttäjä on student1. Lisää uusi LoginHandler LDAP handleriä ennen ja koita pääsetkö kirjautumaan sivulle https://sp2.example.org/secure pelkän IP osoitteen perusteella. (https://spaces.internet2.edu/display/shib2/idpauthip)

Käyttäjätunnistus Lisätehtävä II: Muokkaa SP2:sta niin että se vaatii https://altsp2.example.org/secure sivulle mentäessä nimenomaan PasswordProtectedTransport tunnistuksen eikä IP pohjaista. Huom! Tehtävä 8 SP osiosta pitää olla tehtynä ensin. (https://spaces.internet2.edu/display/shib2/nativespsessioninitiato r#nativespsessioninitiator-commonattributes)

Attribuutit..haluamme siis yleensä kertoa käyttäjästä muutakin kuin että hän osaa salasanansa....mutta emme enempää kuin pakko..

Attribuutit In a nutshell Attribuutti pitää määritellä ja populoida eli muodostetaan AttributeDefinition Määritellään tiedostoon attribute-resolver.xml sisältäen Attribuutin tyypin, ID:n eli shibin sisäisen tunnisteen attribuutille, sourceattributeid:n eli attribuutin tunnisteen käytettävälle DataConnectorille DataConnectorin eli keinon populoida attribuutti ja AttributeEncoderin jolla määritellään miten populoitu atttribuutti esitetään SAML viestissä Lisäksi tarvitaan Attribuutin luovutussääntö Määritellään tiedostossa attribute-filter.xml

Attribuutit Muutama Tyyppi Simple Perustyyppi. Attibuuteille jotka välitetään eteenpäin sellaisenaan Scoped Kuten Simple mutta attribuutin arvoon lisätään AttibuteDefinition:ssa määritelty scope Prescoped Olettaa saavansa valmiiksi scopatun attribuutin Principalname Käyttäjän principal name ad:transientid SAML1NameIdentifier SAML2NameID Script Muodostaa attribuutin esimerkiksi java scriptillä muista attribuutesita Mapped Mäppää attribuutin arvon toiseksi

Attribuutit Esimerkki: <resolver:attributedefinition id="surname" xsi:type="simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad sourceattributeid="sn"> <resolver:dependency ref="myldap" /> <resolver:attributeencoder xsi:type="saml1string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder name="urn:mace:dir:attribute-def:sn" /> <resolver:attributeencoder xsi:type="saml2string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder name="urn:oid:2.5.4.4" friendlyname="sn" /> </resolver:attributedefinition>

Attribuutit DataConnector Static Kätevä kun halutaan myöntää vakioarvoja idp:n kaikille käyttäjille ComputedId Hashaa määritellystä attribuutista, SP:n entity id:stä ja salt:ista uuden arvon (Deprecated) StoredId Kuten ComputedId mutta tallentaa arvon tietokantaan RelationalDatabase Connectori Attribuutin arvon hakemiseksi tietokannasta LDAPDirectory Connectori Attribuutin arvon hakemiseksi LDAP:ista

Attribuutit DataConnector Esimerkki: <resolver:dataconnector id="myldap" xsi:type="ldapdirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc" ldapurl="ldap://127.0.0.1:10389" basedn="ou=people,dc=example,dc=org principal="uid=myservice,ou=system"> <FilterTemplate> <![CDATA[ ]]> (uid=$requestcontext.principalname) </FilterTemplate> </resolver:dataconnector>

Attribuutit Filter Esimerkki: <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="basic:attributerequesterstring" value="https://sp2.example.org/shibboleth" /> <AttributeRule attributeid="surname"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> </AttributeFilterPolicy>

Attribuutit Tehtävä: Julkaistaan ryhmä attribuutteja Vapauta ryhmiin Core ja eduperson kuuluvat AttibuteDefinition:it kommenteista. Kommentoi ulos AttributeDefinition:it jotka käyttävät ComputedID DataConnectoria Lisää DataConnector: <resolver:dataconnector id="myldap" xsi:type="ldapdirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc" ldapurl="ldap://127.0.0.1:10389" basedn="ou=people,dc=example,dc=org" principal="uid=myservice,ou=system"> <FilterTemplate> <![CDATA[ ]]> (uid=$requestcontext.principalname) </FilterTemplate> </resolver:dataconnector>

Attribuutit Lisää testi SP:lle attribuuttien rilisointisääntö: <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="basic:attributerequesterstring" value="https://sp2.example.org/shibboleth" /> <AttributeRule attributeid="givenname"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="surname"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="uid"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> jatkuu

Attribuutit Lisää testi SP:lle attribuuttien rilisointisääntö: <AttributeRule attributeid="commonname"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="edupersonaffiliation"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> </AttributeFilterPolicy> Uudelleenkäynnistä Idp Mene selaimella sivun https://sp2.example.org/secure/ kautta tutkimaan attribuuttejasi.. Tulivatko kaikki perille SP:lle? Lisätehtävä: Korjaa attribuuttimääritelmät siten että kaikki rilisoidut attribuutit saapuvat SP:lle.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute