Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuVeikko Jääskeläinen Muutettu yli 9 vuotta sitten
2
Asentaminen Asennuspaketeista CentOS, RHEL, Windows Lähdekoodista Vaatii muutaman lisäkirjaston
3
Osat shibd Apache-moduli/IIS-filtteri Konfiguraatiotiedostot Log-tiedostot Socket Cookiet Sovelluksen liittäminen Pääsynvalvonta Attribuuttien hyödyntäminen
4
Shibd-prosessi Löytyy /usr/sbin/shibd Tulee olla käynnissä SP:n toiminnan aikana rpm-asennukset tekevät käynnistysskriptin Windows asennus luo servicen Suorittaa www-palvelinmodulin sille luovuttamia tehtäviä Voi käyttää myös konfiguraatiotiedoston tarkistamiseen –t optiolla
5
Apache-moduli Ladataan Apachen konfiguraatiossa Esimerkki Shibboleth-asetushakemistossa Rpm:t asentavat valmiiksi paikalleen IIS:n kanssa filtteri ladataan IIS:n konfiguraatiossa
6
Konfiguraatio shibboleth2.xml Shibboleth SP:n pääkonfiguraatio Palvelun ympäristö (RequestMapper) Palvelun nimi (entityid) Mistä saadaan metatieto (MetadataProvider) Miten sessioita luodaan (SessionInitiator) Käytettävät varmenteet (CredentialResolver) Tuetut protokollat (AssertionConsumerService) Missä sijaitsevat muut asetustiedostot (AttributeExtractor, AttributeFilter, logger)
7
RequestMapper Määrittää mihin pyyntöihin Shibbolethin täytyy tarttua
8
entityid Palvelun nimi Uniikki, vapaasti valittavaissa uniikkiusehdon täyttyessä <ApplicationDefaults entityID=https://aitta2.funet.fi/shibboleth Yhdessä SP:ssä voi olla monta eri entityid:tä Attribuuttien luovutussäännöissä IdP:ssä viitataan tähän
9
Metadataprovider Metadatalähde Paikallisella levyllä Verkosta haettava, kopio paikallisella levyllä, tarkistetaan metadatan allekirjoitus
10
Metadata Kertoo SP:lle minkä IdP:ien ja millä tavalla se voi keskustella Voi olla useita, joiden yhdistelmästä muodostuu kokonaisuus Paikallisella levyllä tai haetaan verkosta Oikeellisuus voidaan tarkistaa allekirjoituksen avulla Varmenteet Shib 1.3:n aikana ainoastaan palvelinten nimet ja CA:n varmenne, joiden avulla yhteydet luotiin SAML2 kaikkien palveluiden varmenteet, jotta voidaan allekirjoittaa ja kryptata viestit
11
SessionInitiator Session luonnin käynnistäminen Määrittää mihin ja miten käyttäjä ohjataan hakemaan sessiota IdP:ssä Ohjataan WAYF/DS:iin, tiettyyn IdPhen Voidaan kutsua myös suoraan selaimen linkillä Mitä entityid:tä käytetään
12
CredentialResolver Shibboleth tarvitsee varmenteet IdP – SP yhteyksin varmistamiseen Viestien allekirjoitukseen ja salaamiseen Hakassa Sonera CA:n toimittamat varmenteet Testauksessa mitä tahansa voi käyttää Asennus luo testivarmenteet <CredentialResolver type="File" key="/etc/shibboleth/sp.key" certificate ="/etc/shibboleth/sp.crt "/>
13
Palveluosoitteet Missä sijaitsevat SP:n palvelut Ei yleensä tarvitse koskea Tarvitaan metadataan
14
Pari lisäpalvelua SP:n metadatan autogenerointi Kätevä testauksessa ja tarkistuksissa Session status Kätevä testauksessa, voi näyttää myös attribuuttien sisällöt
15
Attribuutit attribute-map.xml IdP:ltä saadaan attribuutit skeeman mukaisilla nimillä (urn:oid:1.3.6.1.4.1.5923.1.1.1.6) Muunnetaan nimiksi, joita on helppo käsitellä SP:n sovelluksissa (SHIB_eppn) attribute-policy.xml Muodostetaan sääntöjä, joilla attribuuttien sisältöjä tarkistetaan Attribuuttien scopet, affliationin arvot jne.
16
Pääsynvalvonta Sovellus itse Attribuuttien perusteella esim. PHP:lla tai Perlillä sopivasti määritellen XML-muotoinen Shibbolethin oma tapa Apachen sääntöjen avulla htaccess httpd.conf
17
Miten eteenpäin Asenna SP Integroi sovellukseen Päätä minkä IdP:n kanssa testataan Valitse tarvittavat attribuutit Jaa metadatat ja attribuuttitiedot Testaa Shibboleth 1.3 ja SAML2 Tutustu Hakan teknisiin vaatimuksiin Logout Tutustu Hakan vähemmän teknisiin vaatimuksiin Tietosuojaselosteet Jäsenyysasiat
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.