Shibboleth 2 uudet ominaisuudet & päivän käytännöt Haka koulutus
Pohjustus Ongelmia Pitäisi Shibbolethia ruveta käyttämään, mutta miten tästä oikein saa otetta Minkä dokumentin luen, jotta pääsen eteenpäin
Kurssin sisältö Tavoitteet Muodostaa käsitys miten eri osat liittyvät toisiinsa Tutustua terminologiaan ja konfiguraatioon Luoda pohja itsenäiselle asennukselle Kurssin ulkopuolelle jäävät Asentaminen/kääntäminen muille alustoille Sovellusten liimaaminen Shibbolethin päälle
Aikataulu 9.00 Shibboleth & SAML perusteet 9.45 Kahvi Shibboleth 2 uudet ominaisuudet Service Provider asennus/päivitys Lounas Service Provider asennus/päivitys Kahvi Palveluiden rekisteröinti Hakaan Hakan päivitys kohti SAML2:ta Palveluiden valvonta AAIEyen avullaAAIEyen
Aikataulu 9.30 Kahvi Shibboleth 2 uudet ominaisuudet Identity Provider asennus/päivitys Lounas Identity Provider asennus/päivitys Kahvi Palveluiden rekisteröinti Hakaan Hakan päivitys kohti SAML2:ta Identity Providerin valvonta AAIEyen avullaAAIEyen
Yleiset vihjeet Lue logeja Shibboleth tekee hyviä logeja (min. DEBUG-tila), joissa lähes kaikki ongelmat on selkeästi ilmoitettu Lue Shibboleth Wikiä Nykypäivänä kaikki tarvittavat ominaisuudet on dokumentoitu Wikiin Oikean tiedon löytäminen on voi olla haastavampaa Ole huolellinen Yksi minimaalinen virhe XML:ssa voi sotkea kaiken auttaa Kaikista asioista voi kysyä Käytä prosessiosoitetta, se tavoittaa kaikki CSC:llä, jotka jotain Hakasta tietävät
Shibboleth 2 Julkaistu maaliskuussa 2008 Yhteensopiva Shibboleth 1.3:n kanssa Yhteensopiva muiden toimittajien SAML2 Identity ja Service Provider –ohjelmistojen kanssa SAML2:
Uudet ominaisuudet SAML2 yhteensopiva Oletuksena Shib2 IdP Shib2 SP liikenteessä Käytettävä protokolla päätellään metadatasta Single Logout –tuki (SP:ssa nyt, IdP:ssä tulevissa versioissa) Oletus viestinvaihto (Shib2 IdP Shib2 SP) muuttunut Autentikointiassertio ja attribuutit yhdessä paketissa käyttäjän selaimessa POST:lla IdP:stä SP:lle Kryptataan ja allekirjoitetaan metadatassa olevien varmenteiden avulla Vähemmän varmenne- ja palomuurisäätöä Käyttäjälle nopeampaa
SAML2 viestinvaihto
Shibboleth 1.3 viestinvaihto
SAML2 viestinvaihto
Käytettävän protokollan valinta SP tietää metadatoissaan mihin sen tuntemat IdP:t kykenevät SP:ssa SessionInitiator-asetuksella muokataan millä tavalla halutaan autentikointipyyntö lähettää
Uudet ominaisuudet Metadatan päivittäminen verkosta Tarkistetaan määritetyin aikavälein mahdollinen uusi versio verkosta Tarkistetaan metadata sen XML-allekirjoituksen avulla Monet konfiguraatiot jaettu useaan osaa Testaukseen sopivat varmenteet luodaan automaattisesti asennuksen yhteydessä Uusi oletusprotokolla
IdP Ei tarvetta Apachelle Tomcatin edessä Sisäänrakennettu käyttäjätunnistus LDAP, IP-osoite, Kerberos Shibboleth 1.3:n mukainen REMOTE_USER edelleen mukana Mahdollisuus käyttää useita attribuuttien luovutussääntöjä (ent. ARP) Esim. omat tiedostot Hakalle ja omille sisäisille palveluille Attribuuttien luovutuksessa uusia sääntöjä mahdollista tehdä Attribuuttien nimet: urn -> oid
Attribuuttien nimet Nimet SAML2 attribuutit: OID Shibboleth 1.3: URN IdP Jokaisessa attribuuttimäärittelyssä tarvitaan kaksi encoder- asetusta (attribute-resolver.xml) Käytettävä nimi päätellään käytetystä protokollasta SP Jokaisesta attribuutista tarvitaan kaksi nimeä (attribute- map.xml)
SP SP tekee itsestään metadatan Erilliset attribuuttien hyväksyntä ja nimeämiskonfiguraatiot Attribuutit oletuksena ympäristömuuttujissa HTTP- headerin sijaan Voi konfiguroida entisen kaltaiseksi
Päivittäminen IdP Konfiguraatiot muuttuneet niin paljon että parasta asentaan uusiksi SP Asennuksen pitäisi muuttaa vanhat konfiguraatiot uuden mukaisiksi Tuotannossa kannattanee varautua kuitenkin tekemään uusiksi Attribuutit voivat olla 20:ssa joko http headerissa tai ympäristomuuttujissa