Haka- ja Virtu -seminaari 9.2.2011 - ADFS 2.0 ja SharePoint 2010 CASE: Eduuni-työtilat - opetus- ja kulttuuriministeriön toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen alusta. Kehityspäällikkö Sami Saarikoski IT-asiantuntija Toni Sormunen
Mikä Eduuni? Eduuni on opetus- ja kulttuuriministeriön omistama hallinnon- ja toimialan yhteisten palveluiden alusta. Eduunia ylläpitää ja kehittää CSC - Tieteen tietotekniikan keskus Oy yhteistyössä ministeriön ja asiakasorganisaatioiden kanssa. Eduunin ensimmäinen palvelu otettiin tuotantokäyttöön hallinnonalan virastoille 7.9.2009. Hallinnonalan Eduuni-palveluja ovat työryhmäpalvelu (SharePoint), Eduuni- pikaviestit ja verkkoneuvottelut (OCS) ja SALAMAasianhallinta. Jatkossa Eduunissa tuotetaan palveluja myös toimialan organisaatioille in-house periaatteella. Ensimmäinen toimialalle suuntautuva palvelu on Eduuni-työtilat.
Eduuni-työtilat ja Oma Eduuni Eduuni-työtilat on opetus- ja kulttuuriministeriön toimialan yhteinen sähköisen työskentelyn ja verkostoitumisen alusta. Työtila voi sisältää mm. asiakirjoja, kuvia, tehtäviä, keskusteluja, kalentereita, wikitai blogi-sivuja jne. perustuen SharePoint 2010 ominaisuuksiin. Alusta toteutetaan Microsoft SharePoint 2010 tuotteella mahdollisimman käyttöjärjestelmä/selain riippumattomasti hyödyntäen federoituja identiteettejä (Haka ja Virtu). Oma Eduuni tarjoaa myös jokaiselle palveluun rekisteröityneelle mahdollisuuden verkostoitua ja käyttää sosiaalisen median ominaisuuksia. Oma Eduuni sisältää oman sivuston ja oman profiilin
Kirjautuminen ja rekisteröinti Eduuni-työtiloihin kirjaudutaan pääasiassa Haka- ja Virtu - luottamusverkostojen kautta Muut työtiloihin valtuutetut käyttäjät kirjautuvat kuluttaja identiteettejä hyödyntäen. Esim. Google, LiveID tai Yahoo Kirjautumistavasta riippumatta kaikkia käyttäjiä vaaditaan rekisteröitymään ja validoimaan sähköpostiosoitteensa. Rekisteröinnissä kysytään sähköpostiosoitteen lisäksi vain perustiedot: Etu- ja sukunimi, organisaatio. Muita tietoja käyttäjät voivat antaa omaan profiiliin. Huom. luottamusverkostojen attribuuteissa tulevia sähköpostiosoitteita ei välitetä palveluun.
SharePoint 2010 ja ADFS 2.0 SharePoint 2010 Claims-based WebApplicationit Useita autentikointitapoja voidaan hyödyntää samassa WebApplicationissa SharePointissa on oma STS, jossa tuki WS-federation protokollalle Laajennettu selaintuki IE, Safari, Firefox http://technet.microsoft.com/en-us/library/cc263526.aspx ADFS 2.0 SAML 2.0 ja WS-federation tuki Mahdollisuus asentaa vikasietoinen farmi ADFS Claims Engine
SharePoint ympäristö
SharePoint STS asetukset Asetetaan SharePoint STS luottamaan ADFS:ään PowerShell - New-SPTrustedIdentityTokenIssuer $tokensigningcert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2( tokensigning.cer") $map1 = New-SPClaimTypeMapping "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" - IncomingClaimTypeDisplayName "By Email" -SameAsIncoming $map2 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/edupersonprincipalname" - IncomingClaimTypeDisplayName "By edupersonprincipalname" -SameAsIncoming $map3 = New-SPClaimTypeMapping "http://schemas.domain.fi/claims/virtupersonprincipalname" - IncomingClaimTypeDisplayName "By virtupersonprincipalname" -SameAsIncoming $realm = "https://testi.domain.fi/_trust/" $signinurl = "https://adfs.domain.fi/adfs/ls/" $ap = New-SPTrustedIdentityTokenIssuer -Name "Identity" -Description "ADFS 2.0" -Realm $realm - ImportTrustCertificate $tokensigningcert -ClaimsMappings $map1,$map2,$map3 -SignInUrl $signinurl -IdentifierClaim $map1.inputclaimtype $rootca = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("RootCA.cer") New-SPTrustedRootAuthority -Name "ADFS Token Signing Root Authority- fs.domain.fi" -Certificate $rootca Tämän jälkeen voidaan SharePoint Web Applicationissa valita Trusted Identity Provideriksi ADFS Kannattaa valita ainoastaan yksi per Web Application, ettei käyttäjä joudu valitsemaan IdP:itä useaan kertaan
ADFS 2.0 asetukset Asetetaan ADFS 2.0 luottamaan SharePointin STS:ään ADFS 2.0 Management Console Relying Party Trusts Add Relying Party Trust Wizard Valitaan AD FS 1.0 and 1.1 profile ADFS 2.0:n voi myös konfiguroida PowerShell cmdleteillä PowerShell komentoja Add-ADFSAttributeStore Adds an attribute store to the Federation Service. Add-ADFSCertificate Adds a new certificate to the Federation Service for signing, decrypting, or securing communications. Add-ADFSClaimDescription Adds a claim description to the Federation Service. Add-ADFSClaimsProviderTrust Adds a new claims provider trust to the Federation Service. Add-ADFSRelyingPartyTrust Adds a new relying party trust to the Federation Service.
ADFS 2.0 Service Provider:ksi Hakaan Hakan IdP:t määritellään ADFS:n Claims Provider Trust:ksi. ADFS ei voi suoraan hyödyntää Hakan metatietoa. Kaikki IdP:t ja SP:t samassa metatiedossa Sertifikaattien käsittelyssä eroja IdP tietojen käsittely Hakan metatiedosta: Manuaalisesti Skriptaamalla Ohjelmoimalla
Metatiedon muokkaaminen ADFS yhteensopivaksi Toteutus Powershell skriptillä ADFS:n mukana paljon valmiita komentoja joita hyödynnettiin toteutuksessa. XML:n käsittely Powershell:n avulla helppoa. Päivitettävyys. Keskeiset kohdat metatiedon käsittelyssä Metatiedosta haetaan per IdP tarvittavat tiedot. Tiedot parametreina Add-ADFSClaimsProviderTrust komennolle. Encryption sertifikaatti Metatiedossa voi olla useita, ADFS:ään voi viedä vain yhden Voimassa olevista sertifikaateista mahdollisimman pitkään voimassa oleva sertifikaatti.
Kiitos sami.saarikoski@minedu.fi toni.sormunen@minedu.fi