Asentaminen Asennuspaketeista CentOS, RHEL, Windows Lähdekoodista Vaatii muutaman lisäkirjaston
Osat shibd Apache-moduli/IIS-filtteri Konfiguraatiotiedostot Log-tiedostot Socket Cookiet Sovelluksen liittäminen Pääsynvalvonta Attribuuttien hyödyntäminen
Shibd-prosessi Löytyy /usr/sbin/shibd Tulee olla käynnissä SP:n toiminnan aikana rpm-asennukset tekevät käynnistysskriptin Windows asennus luo servicen Suorittaa www-palvelinmodulin sille luovuttamia tehtäviä Voi käyttää myös konfiguraatiotiedoston tarkistamiseen –t optiolla
Apache-moduli Ladataan Apachen konfiguraatiossa Esimerkki Shibboleth-asetushakemistossa Rpm:t asentavat valmiiksi paikalleen IIS:n kanssa filtteri ladataan IIS:n konfiguraatiossa
Konfiguraatio shibboleth2.xml Shibboleth SP:n pääkonfiguraatio Palvelun ympäristö (RequestMapper) Palvelun nimi (entityid) Mistä saadaan metatieto (MetadataProvider) Miten sessioita luodaan (SessionInitiator) Käytettävät varmenteet (CredentialResolver) Tuetut protokollat (AssertionConsumerService) Missä sijaitsevat muut asetustiedostot (AttributeExtractor, AttributeFilter, logger)
RequestMapper Määrittää mihin pyyntöihin Shibbolethin täytyy tarttua
entityid Palvelun nimi Uniikki, vapaasti valittavaissa uniikkiusehdon täyttyessä <ApplicationDefaults entityID= Yhdessä SP:ssä voi olla monta eri entityid:tä Attribuuttien luovutussäännöissä IdP:ssä viitataan tähän
Metadataprovider Metadatalähde Paikallisella levyllä Verkosta haettava, kopio paikallisella levyllä, tarkistetaan metadatan allekirjoitus
Metadata Kertoo SP:lle minkä IdP:ien ja millä tavalla se voi keskustella Voi olla useita, joiden yhdistelmästä muodostuu kokonaisuus Paikallisella levyllä tai haetaan verkosta Oikeellisuus voidaan tarkistaa allekirjoituksen avulla Varmenteet Shib 1.3:n aikana ainoastaan palvelinten nimet ja CA:n varmenne, joiden avulla yhteydet luotiin SAML2 kaikkien palveluiden varmenteet, jotta voidaan allekirjoittaa ja kryptata viestit
SessionInitiator Session luonnin käynnistäminen Määrittää mihin ja miten käyttäjä ohjataan hakemaan sessiota IdP:ssä Ohjataan WAYF/DS:iin, tiettyyn IdPhen Voidaan kutsua myös suoraan selaimen linkillä Mitä entityid:tä käytetään
CredentialResolver Shibboleth tarvitsee varmenteet IdP – SP yhteyksin varmistamiseen Viestien allekirjoitukseen ja salaamiseen Hakassa Sonera CA:n toimittamat varmenteet Testauksessa mitä tahansa voi käyttää Asennus luo testivarmenteet <CredentialResolver type="File" key="/etc/shibboleth/sp.key" certificate ="/etc/shibboleth/sp.crt "/>
Palveluosoitteet Missä sijaitsevat SP:n palvelut Ei yleensä tarvitse koskea Tarvitaan metadataan
Pari lisäpalvelua SP:n metadatan autogenerointi Kätevä testauksessa ja tarkistuksissa Session status Kätevä testauksessa, voi näyttää myös attribuuttien sisällöt
Attribuutit attribute-map.xml IdP:ltä saadaan attribuutit skeeman mukaisilla nimillä (urn:oid: ) Muunnetaan nimiksi, joita on helppo käsitellä SP:n sovelluksissa (SHIB_eppn) attribute-policy.xml Muodostetaan sääntöjä, joilla attribuuttien sisältöjä tarkistetaan Attribuuttien scopet, affliationin arvot jne.
Pääsynvalvonta Sovellus itse Attribuuttien perusteella esim. PHP:lla tai Perlillä sopivasti määritellen XML-muotoinen Shibbolethin oma tapa Apachen sääntöjen avulla htaccess httpd.conf
Miten eteenpäin Asenna SP Integroi sovellukseen Päätä minkä IdP:n kanssa testataan Valitse tarvittavat attribuutit Jaa metadatat ja attribuuttitiedot Testaa Shibboleth 1.3 ja SAML2 Tutustu Hakan teknisiin vaatimuksiin Logout Tutustu Hakan vähemmän teknisiin vaatimuksiin Tietosuojaselosteet Jäsenyysasiat