Asentaminen  Asennuspaketeista CentOS, RHEL, Windows  Lähdekoodista  Vaatii muutaman lisäkirjaston.

Esitys aiheesta: "Asentaminen  Asennuspaketeista CentOS, RHEL, Windows  Lähdekoodista  Vaatii muutaman lisäkirjaston."— Esityksen transkriptio:

1

2 Asentaminen  Asennuspaketeista CentOS, RHEL, Windows  Lähdekoodista  Vaatii muutaman lisäkirjaston

3 Osat  shibd  Apache-moduli/IIS-filtteri  Konfiguraatiotiedostot  Log-tiedostot  Socket  Cookiet  Sovelluksen liittäminen Pääsynvalvonta Attribuuttien hyödyntäminen

4 Shibd-prosessi  Löytyy /usr/sbin/shibd  Tulee olla käynnissä SP:n toiminnan aikana rpm-asennukset tekevät käynnistysskriptin Windows asennus luo servicen  Suorittaa www-palvelinmodulin sille luovuttamia tehtäviä  Voi käyttää myös konfiguraatiotiedoston tarkistamiseen –t optiolla

5 Apache-moduli  Ladataan Apachen konfiguraatiossa  Esimerkki Shibboleth-asetushakemistossa Rpm:t asentavat valmiiksi paikalleen  IIS:n kanssa filtteri ladataan IIS:n konfiguraatiossa

6 Konfiguraatio  shibboleth2.xml Shibboleth SP:n pääkonfiguraatio Palvelun ympäristö (RequestMapper) Palvelun nimi (entityid) Mistä saadaan metatieto (MetadataProvider) Miten sessioita luodaan (SessionInitiator) Käytettävät varmenteet (CredentialResolver) Tuetut protokollat (AssertionConsumerService) Missä sijaitsevat muut asetustiedostot (AttributeExtractor, AttributeFilter, logger)

7 RequestMapper  Määrittää mihin pyyntöihin Shibbolethin täytyy tarttua 

8 entityid  Palvelun nimi Uniikki, vapaasti valittavaissa uniikkiusehdon täyttyessä <ApplicationDefaults entityID=https://aitta2.funet.fi/shibboleth  Yhdessä SP:ssä voi olla monta eri entityid:tä  Attribuuttien luovutussäännöissä IdP:ssä viitataan tähän

9 Metadataprovider  Metadatalähde Paikallisella levyllä Verkosta haettava, kopio paikallisella levyllä, tarkistetaan metadatan allekirjoitus

10 Metadata  Kertoo SP:lle minkä IdP:ien ja millä tavalla se voi keskustella  Voi olla useita, joiden yhdistelmästä muodostuu kokonaisuus  Paikallisella levyllä tai haetaan verkosta  Oikeellisuus voidaan tarkistaa allekirjoituksen avulla  Varmenteet Shib 1.3:n aikana ainoastaan palvelinten nimet ja CA:n varmenne, joiden avulla yhteydet luotiin SAML2 kaikkien palveluiden varmenteet, jotta voidaan allekirjoittaa ja kryptata viestit

11 SessionInitiator  Session luonnin käynnistäminen  Määrittää mihin ja miten käyttäjä ohjataan hakemaan sessiota IdP:ssä Ohjataan WAYF/DS:iin, tiettyyn IdPhen Voidaan kutsua myös suoraan selaimen linkillä Mitä entityid:tä käytetään

12 CredentialResolver  Shibboleth tarvitsee varmenteet IdP – SP yhteyksin varmistamiseen Viestien allekirjoitukseen ja salaamiseen  Hakassa Sonera CA:n toimittamat varmenteet  Testauksessa mitä tahansa voi käyttää Asennus luo testivarmenteet <CredentialResolver type="File" key="/etc/shibboleth/sp.key" certificate ="/etc/shibboleth/sp.crt "/>

13 Palveluosoitteet  Missä sijaitsevat SP:n palvelut  Ei yleensä tarvitse koskea  Tarvitaan metadataan

14 Pari lisäpalvelua  SP:n metadatan autogenerointi Kätevä testauksessa ja tarkistuksissa  Session status Kätevä testauksessa, voi näyttää myös attribuuttien sisällöt

15 Attribuutit  attribute-map.xml IdP:ltä saadaan attribuutit skeeman mukaisilla nimillä (urn:oid:1.3.6.1.4.1.5923.1.1.1.6) Muunnetaan nimiksi, joita on helppo käsitellä SP:n sovelluksissa (SHIB_eppn)  attribute-policy.xml Muodostetaan sääntöjä, joilla attribuuttien sisältöjä tarkistetaan Attribuuttien scopet, affliationin arvot jne.

16 Pääsynvalvonta  Sovellus itse Attribuuttien perusteella esim. PHP:lla tai Perlillä sopivasti määritellen  XML-muotoinen Shibbolethin oma tapa  Apachen sääntöjen avulla htaccess httpd.conf

17 Miten eteenpäin  Asenna SP Integroi sovellukseen  Päätä minkä IdP:n kanssa testataan  Valitse tarvittavat attribuutit  Jaa metadatat ja attribuuttitiedot  Testaa Shibboleth 1.3 ja SAML2  Tutustu Hakan teknisiin vaatimuksiin Logout  Tutustu Hakan vähemmän teknisiin vaatimuksiin Tietosuojaselosteet Jäsenyysasiat