====== Pokročilá konfigurace Shibboleth IdP ======

===== Složení atributu "cn" z "givenName" a "sn" =====

Jestliže náš LDAP/AD server neobsahuje atribut [[..:..:attributes:cn]] obsahující //celé jméno bez titulů včetně diakritiky, tedy křestní jméno a příjmení// (jak je uvedeno v [[https://www.eduid.cz/cs/tech/attributes|požadavcích na atributy v eduID.cz]]), můžeme tento atribut jednoduše složit z křestního jména ([[..:..:attributes:givenname]]) a příjmení ([[..:..:attributes:sn]]).

Následující blok kódu z konfiguračního souboru [[https://www.eduid.cz/shibboleth-idp/attribute-resolver.xml|conf/attribute-resolver.xml]] předpokládá:

  * ''myLDAP'' je identifikátor konektoru do LDAP/AD serveru,
  * ''givenName'' je název atributu obsahující křesní jméno uživatele (včetně diakritiky),
  * ''sn'' je název atributu obsahující příjmení uživatele (včetně diakritiky).

**Následující kód předpokládá, že máte Shibboleth IdP verze 4.0.0 a novější.**

<code xml>
<!-- cn (givenName + sn) -->
<AttributeDefinition xsi:type="Template" id="cn">
    <InputAttributeDefinition ref="givenName"/>
    <InputAttributeDefinition ref="sn"/>
    <Template>${givenName} ${sn}</Template>
</AttributeDefinition>
</code>

Teď je potřeba restartovat ''AttributeResolverService'':

<code bash>
# Restart AttributeResolverService
/opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.AttributeResolverService
</code>

===== commonNameASCII =====

Atribut [[cs:tech:attributes:commonnameascii]] je vyžadován službou [[https://pki.cesnet.cz/cs/tcs-admin-root.html|TCS]] pro vydávání [[https://pki.cesnet.cz/cs/tcs-personal.html|osobních]] certifikátů.

Pokud takový atribut nemáme v LDAP/AD serveru, můžeme si ho v Shibboleth IdP snadno vyrobit. K jeho generování v následující ukázce s výhodou využijeme výše definovaného atributu [[#slozeni_atributu_cn_z_givenname_a_sn|cn]], který jsme složili z křestního jména [[..:..:attributes:givenname]] a příjmení [[..:..:attributes:sn]].

Definice atributu [[..:..:attributes:commonnameascii]] v konfiguračním souboru [[https://www.eduid.cz/shibboleth-idp/conf/attribute-resolver.xml|conf/attribute-resolver.xml]] vypadá následovně (skript předpokládá, že jméno a příjmení včetně diakritiky je v atributu [[..:..:attributes:cn]], přesně jako je to uvedeno výše):

**Následující kód předpokládá, že máte Shibboleth IdP verze 4.0.0 a novější.**

<code xml>
<!-- commonNameASCII -->
<AttributeDefinition xsi:type="ScriptedAttribute" id="commonNameASCII">
    <InputAttributeDefinition ref="cn"/>
    <AttributeEncoder xsi:type="SAML2String" name="http://eduid.cz/attributes/commonName#ASCII" friendlyName="commonNameASCII"/>
    <Script>
    <![CDATA[
        load("nashorn:mozilla_compat.js");                                                                      

        importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider);
        importPackage(Packages.java.lang);
        importPackage(Packages.java.text);

        if(cn.getValues().size() > 0) {
            originalValue = cn.getValues().get(0);
            asciiValue = Normalizer.normalize(originalValue, Normalizer.Form.NFD).replaceAll("\\p{InCombiningDiacriticalMarks}+", "");
            commonNameASCII.getValues().add(asciiValue);
        }
    ]]>
    </Script>
</AttributeDefinition>
</code>

Zbývá jen restartovat ''AttributeResolverService'':

<code bash>
# Restart AttributeResolverService
/opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.AttributeResolverService
</code>

===== Prodloužení doby platnosti přihlášení =====

Výchozí nastavení Shibboleth IdP způsobuje, že se uživatelé musí každou hodinu přihlašovat ke službám z důvodu vypršení platnosti přihlášení (sezení, session, ...). Úpravou v konfiguračních souborech ''/opt/shibboleth-idp/conf/idp.properties'' a ''/opt/shibboleth-idp/conf/authn/authn.properties'' lze dobu platnosti přihlášení prodloužit.

Následující konfigurace způsobí, že se uživatelé musí znovu přihlásit až po uplynutí 12 hodin:

<code xml>
# conf/idp.properties
idp.session.timeout           = PT12H
idp.session.defaultSPlifetime = PT12H

# conf/authn/authn.properties
idp.authn.defaultLifetime     = PT12H
idp.authn.defaultTimeout      = PT12H
</code>

Restartujeme Jetty:

<code bash>
# Restart Jetty
systemctl restart jetty9
</code>



===== Consent (uApprove) =====

==== Zapnutí ====

Pokud chceme zapnout tzv. "consent" neboli uApprove -- funkci, která po úspěšném přihlášení uživatele zobrazí seznam uživatelských atributů a jejich hodnot, které budou službě uvolněny -- je potřeba zapnout modul ''idp.intercept.Consent'' a provést úpravu v konfiguračním souboru ''/opt/shibboleth-idp/conf/relying-party.xml''.

Zapnutí modulu:

<code bash>
# Zapnutí modulu idp.intercept.Consent
/opt/shibboleth-idp/bin/module.sh -e idp.intercept.Consent
</code>

Na řádku 40 je potřeba doplnit XML atribut ''p:postAuthenticationFlows="attribute-release"'', čili

<code xml>
<bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release" />
</code>

Pak je nutné restartovat Jetty:

<code bash>
# Restart Jetty
systemctl restart jetty9
</code>

==== Seřazení atributů ====

Chceme-li, aby se v uApprove při potvrzování uvolňovaných atributů, zobrazovaly atributy v nějakém specifickém pořadí tak, aby byl přehled pro uživatele snáze srozumitelný, můžeme toho dosáhnout v konfiguračním souboru ''conf/intercept/consent-intercept-config.xml''. Element ''<util:list id="shibboleth.consent.attribute-release.AttributeDisplayOrder">'' musíme nejprve odkomentovat.

Následující kód způsobí, že atributy v uApprove budou seřazeny následovně (odshora dolů): [[..:..:attributes:givenname]], [[..:..:attributes:sn]], [[..:..:attributes:cn]], [[..:..:attributes:commonnameascii]], [[..:..:attributes:displayname]], [[..:..:attributes:telephonenumber]], [[..:..:attributes:authmail]], [[..:..:attributes:mail]], [[..:..:attributes:edupersonprincipalname]], [[..:..:attributes:unstructuredname]], [[..:..:attributes:edupersonuniqueid]], [[..:..:attributes:o]], [[..:..:attributes:ou]], [[..:..:attributes:schachomeorganization]].

<code xml>
<util:list id="shibboleth.consent.attribute-release.AttributeDisplayOrder">
    <value>givenName</value>
    <value>sn</value>
    <value>cn</value>
    <value>commonNameASCII</value>
    <value>displayName</value>
    <value>telephoneNumber</value>
    <value>authMail</value>
    <value>mail</value>
    <value>eduPersonPrincipalName</value>
    <value>unstructuredName</value>
    <value>eduPersonUniqueId</value>
    <value>o</value>
    <value>ou</value>
    <value>schacHomeOrganization</value>
</util:list>
</code>

Restartujeme Jetty:

<code bash>
# Restart Jetty
systemctl restart jetty9
</code>

==== Schování atributů ====

Některé atributy je vhodné v uApprove uživatelům nezobrazovat, jelikož jejich obsah může nabývat dosti matoucích hodnot. Mezi tyto atributy, které se ve výchozím nastavení v uApprove nezobrazují, patří ''transientId'', ''persistentId'' a ''eduPersonTargetedID''. Osobně doporučujeme schovávat i ''eduPersonEntitlement''.

Nastavení se provádí v ''conf/intercept/consent-intercept-config.xml'' v elementu ''<util:list id="shibboleth.consent.attribute-release.IgnoredAttributeIDs">''.

<code xml>
<util:list id="shibboleth.consent.attribute-release.IgnoredAttributeIDs">
    <value>transientId</value>
    <value>persistentId</value>
    <value>eduPersonTargetedID</value>
    <value>eduPersonEntitlement</value>
</util:list>
</code>

Teď je potřeba restartovat Jetty:

<code bash>
# Restart Jetty
systemctl restart jetty9
</code>

===== Expirace hesla =====

Chceme-li varovat uživatele před expirací hesla, musíme zapnout modul "ExpiringPassword":

<code bash>
# Zapnutí modulu ExpiringPassword
/opt/shibboleth-idp/bin/module.sh -e idp.intercept.ExpiringPassword
</code>

Do ''ldap.properties'' doplníme (třeba nakonec souboru) následující volbu:

<code ini>
idp.authn.LDAP.usePasswordExpiration = true
</code>

Do ''attribute-resolver.xml'' doplníme atribut //passwordExpiration// a přidáme element ''ReturnAttributes'' do LDAP konektoru:

<code xml>
<!-- passwordExpiration -->
<AttributeDefinition xsi:type="Simple" id="passwordExpiration">
    <InputDataConnector ref="myLDAP" attributeNames="passwordExpirationTime"/>
</AttributeDefinition>
</code>

<code xml>
<DataConnector id="myLDAP" xsi:type="LDAPDirectory"
    ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}"
    baseDN="%{idp.attribute.resolver.LDAP.baseDN}" 
    principal="%{idp.attribute.resolver.LDAP.bindDN}"
    principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}"
    useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}"
    connectTimeout="%{idp.attribute.resolver.LDAP.connectTimeout}"
    trustFile="%{idp.attribute.resolver.LDAP.trustCertificates}"
    responseTimeout="%{idp.attribute.resolver.LDAP.responseTimeout}"
    connectionStrategy="%{idp.attribute.resolver.LDAP.connectionStrategy}"
    noResultIsError="true"
    multipleResultsIsError="true"
    excludeResolutionPhases="c14n/attribute">
    <FilterTemplate>
        <![CDATA[
            %{idp.attribute.resolver.LDAP.searchFilter}
        ]]>
    </FilterTemplate>
    <ReturnAttributes>* passwordExpirationTime</ReturnAttributes>
    <ConnectionPool
        minPoolSize="%{idp.pool.LDAP.minSize:3}"
        maxPoolSize="%{idp.pool.LDAP.maxSize:10}"
        blockWaitTime="%{idp.pool.LDAP.blockWaitTime:PT3S}"
        validatePeriodically="%{idp.pool.LDAP.validatePeriodically:true}"
        validateTimerPeriod="%{idp.pool.LDAP.validatePeriod:PT5M}"
        validateDN="%{idp.pool.LDAP.validateDN:}"
        validateFilter="%{idp.pool.LDAP.validateFilter:(objectClass=*)}"
        expirationTime="%{idp.pool.LDAP.idleTime:PT10M}"/>
</DataConnector>
</code>

Následně musíme nastavit, jak moc dopředu chceme uživatele před expirací varovat. Shibboleth IdP má standardně nastaveno 14 dní. Doporučujeme ale provést změnu alespoň na 30 dní, změnit tedy //p:offset="-P14D"// na //p:offset="-P30D"//. Ostatní parametry by měly být v pořádku.

<code xml>
<bean id="shibboleth.expiring-password.Condition" class="net.shibboleth.idp.profile.logic.DateAttributePredicate"
    c:attribute="passwordExpiration" c:formatString="yyyyMMddHHmmssX"
    p:resultIfMissing="true" p:offset="-P14D" />
</code>

Pak ještě zbývá upravit soubor ''relying-party.xml'' a přidat ''expiring-password'' do autentizačního toku pro **SAML2.SSO**:

<code xml>
<!-- Zapnutí varování před expirací hesla -->
<bean parent="SAML2.SSO" p:postAuthenticationFlows="expiring-password" />

<!-- Zapnutí varování před expirací hesla, pokud zároveň máme zapnutý "consent" (uApprove) -->
<bean parent="SAML2.SSO" p:postAuthenticationFlows="#{{'attribute-release', 'expiring-password' }}" />
</code>

Zbývá restartovat Jetty:

<code bash>
# Restartování Jetty
systemctl restart jetty9
</code>