Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuMarkus Ketonen Muutettu yli 9 vuotta sitten
1
Shibboleth 2 uudet ominaisuudet & päivän käytännöt Haka koulutus 15.-16.10.2008
2
Pohjustus Ongelmia Pitäisi Shibbolethia ruveta käyttämään, mutta miten tästä oikein saa otetta Minkä dokumentin luen, jotta pääsen eteenpäin
3
Kurssin sisältö Tavoitteet Muodostaa käsitys miten eri osat liittyvät toisiinsa Tutustua terminologiaan ja konfiguraatioon Luoda pohja itsenäiselle asennukselle Kurssin ulkopuolelle jäävät Asentaminen/kääntäminen muille alustoille Sovellusten liimaaminen Shibbolethin päälle
4
Aikataulu 15.10.2008 9.00 Shibboleth & SAML perusteet 9.45 Kahvi 10.00 Shibboleth 2 uudet ominaisuudet 11.00 Service Provider asennus/päivitys 12.00 Lounas 12.45 Service Provider asennus/päivitys 14.30 Kahvi 15.00 Palveluiden rekisteröinti Hakaan 15.15 Hakan päivitys kohti SAML2:ta 15.45 Palveluiden valvonta AAIEyen avullaAAIEyen
5
Aikataulu 16.10.2008 9.30 Kahvi 10.00 Shibboleth 2 uudet ominaisuudet 11.00 Identity Provider asennus/päivitys 12.00 Lounas 12.45 Identity Provider asennus/päivitys 14.30 Kahvi 15.00 Palveluiden rekisteröinti Hakaan 15.15 Hakan päivitys kohti SAML2:ta 15.45 Identity Providerin valvonta AAIEyen avullaAAIEyen
6
Yleiset vihjeet Lue logeja Shibboleth tekee hyviä logeja (min. DEBUG-tila), joissa lähes kaikki ongelmat on selkeästi ilmoitettu Lue Shibboleth Wikiä Nykypäivänä kaikki tarvittavat ominaisuudet on dokumentoitu Wikiin Oikean tiedon löytäminen on voi olla haastavampaa Ole huolellinen Yksi minimaalinen virhe XML:ssa voi sotkea kaiken haka@csc.fi auttaa haka@csc.fi Kaikista asioista voi kysyä Käytä prosessiosoitetta, se tavoittaa kaikki CSC:llä, jotka jotain Hakasta tietävät
7
Shibboleth 2 Julkaistu maaliskuussa 2008 Yhteensopiva Shibboleth 1.3:n kanssa Yhteensopiva muiden toimittajien SAML2 Identity ja Service Provider –ohjelmistojen kanssa SAML2: http://www.oasis-open.org/specs/#samlv2.0http://www.oasis-open.org/specs/#samlv2.0
8
Uudet ominaisuudet SAML2 yhteensopiva Oletuksena Shib2 IdP Shib2 SP liikenteessä Käytettävä protokolla päätellään metadatasta Single Logout –tuki (SP:ssa nyt, IdP:ssä tulevissa versioissa) Oletus viestinvaihto (Shib2 IdP Shib2 SP) muuttunut Autentikointiassertio ja attribuutit yhdessä paketissa käyttäjän selaimessa POST:lla IdP:stä SP:lle Kryptataan ja allekirjoitetaan metadatassa olevien varmenteiden avulla Vähemmän varmenne- ja palomuurisäätöä Käyttäjälle nopeampaa
9
SAML2 viestinvaihto
10
Shibboleth 1.3 viestinvaihto
11
SAML2 viestinvaihto
12
Käytettävän protokollan valinta SP tietää metadatoissaan mihin sen tuntemat IdP:t kykenevät SP:ssa SessionInitiator-asetuksella muokataan millä tavalla halutaan autentikointipyyntö lähettää
13
Uudet ominaisuudet Metadatan päivittäminen verkosta Tarkistetaan määritetyin aikavälein mahdollinen uusi versio verkosta Tarkistetaan metadata sen XML-allekirjoituksen avulla Monet konfiguraatiot jaettu useaan osaa Testaukseen sopivat varmenteet luodaan automaattisesti asennuksen yhteydessä Uusi oletusprotokolla
14
IdP Ei tarvetta Apachelle Tomcatin edessä Sisäänrakennettu käyttäjätunnistus LDAP, IP-osoite, Kerberos Shibboleth 1.3:n mukainen REMOTE_USER edelleen mukana Mahdollisuus käyttää useita attribuuttien luovutussääntöjä (ent. ARP) Esim. omat tiedostot Hakalle ja omille sisäisille palveluille Attribuuttien luovutuksessa uusia sääntöjä mahdollista tehdä Attribuuttien nimet: urn -> oid
15
Attribuuttien nimet Nimet SAML2 attribuutit: OID Shibboleth 1.3: URN IdP Jokaisessa attribuuttimäärittelyssä tarvitaan kaksi encoder- asetusta (attribute-resolver.xml) Käytettävä nimi päätellään käytetystä protokollasta SP Jokaisesta attribuutista tarvitaan kaksi nimeä (attribute- map.xml)
16
SP SP tekee itsestään metadatan Erilliset attribuuttien hyväksyntä ja nimeämiskonfiguraatiot Attribuutit oletuksena ympäristömuuttujissa HTTP- headerin sijaan Voi konfiguroida entisen kaltaiseksi
17
Päivittäminen IdP Konfiguraatiot muuttuneet niin paljon että parasta asentaan uusiksi SP Asennuksen pitäisi muuttaa vanhat konfiguraatiot uuden mukaisiksi Tuotannossa kannattanee varautua kuitenkin tekemään uusiksi Attribuutit voivat olla 20:ssa joko http headerissa tai ympäristomuuttujissa
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.