Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | Následující verze Obě strany příští revize | ||
cs:tech:idp:shibboleth [2020/05/12 16:02] jan.oppolzer@cesnet.cz [idp.properties] |
cs:tech:idp:shibboleth [2020/05/12 16:15] jan.oppolzer@cesnet.cz [metadata-providers.xml] |
||
---|---|---|---|
Řádek 231: | Řádek 231: | ||
Pokud by vás zajímal význam atributů v elementu ''<MetadataProvider>'', naleznete vše [[https://wiki.shibboleth.net/confluence/display/IDP4/FileBackedHTTPMetadataProvider|v oficiální dokumentaci]]. Vše okolo ''<MetadataFilter>'' elementu naleznete také [[https://wiki.shibboleth.net/confluence/display/IDP4/MetadataFilterConfiguration|v oficiální dokumentaci]]. | Pokud by vás zajímal význam atributů v elementu ''<MetadataProvider>'', naleznete vše [[https://wiki.shibboleth.net/confluence/display/IDP4/FileBackedHTTPMetadataProvider|v oficiální dokumentaci]]. Vše okolo ''<MetadataFilter>'' elementu naleznete také [[https://wiki.shibboleth.net/confluence/display/IDP4/MetadataFilterConfiguration|v oficiální dokumentaci]]. | ||
+ | |||
+ | <WRAP tip> | ||
+ | Pokud jsme se v sekci [[#idpproperties|idp.properties]] správně rozhodli využívat primárně nový bezpečnější způsob šifrování pomocí AES-GCM, je velice vhodné vytvořit sekci pro služby, které toto šifrování nepodporují a povolit u nich starší způsob šifrování pomocí AES-CBC, jinak nebude možné se k nim přihlásit. | ||
+ | |||
+ | Níže uvedený seznam výjimek (složený z entityID služeb podporujících pouze AES-CBC) zajistí, že IdP bude primárně používat nové šifrování a staré pouze pro vyjmenované služby. Seznam níže uvedených služeb by měl být kompletní. Pokud byste narazili na problém, oznamte ho, prosím, na [[info@eduid.cz]]. | ||
+ | |||
+ | Jelikož je z kapacitních důvodů velice komplikované otestovat podporu pro AES-GCM, tak pro eduGAIN je zvolen jiný přístup. Primárně se používá AES-CBC, pokud služba v metadatech sama neuvádí podporu pro AES-GCM. Bližší vysvětlení je nad rámec tohoto návodu, proto je zde uvedeno pouze aktuálně nejvhodnější řešení. | ||
+ | |||
+ | <code xml> | ||
+ | <!-- eduID.cz --> | ||
+ | <MetadataProvider | ||
+ | id="eduidcz" | ||
+ | xsi:type="FileBackedHTTPMetadataProvider" | ||
+ | backingFile="%{idp.home}/metadata/eduidcz.xml" | ||
+ | metadataURL="https://metadata.eduid.cz/entities/eduid+sp" | ||
+ | maxRefreshDelay="PT30M"> | ||
+ | |||
+ | <MetadataFilter | ||
+ | xsi:type="SignatureValidation" | ||
+ | requireSignedRoot="true" | ||
+ | certificateFile="%{idp.home}/credentials/metadata.eduid.cz.crt.pem" /> | ||
+ | |||
+ | <MetadataFilter | ||
+ | xsi:type="RequiredValidUntil" | ||
+ | maxValidityInterval="P30D" /> | ||
+ | |||
+ | <MetadataFilter | ||
+ | xsi:type="Algorithm"> | ||
+ | |||
+ | <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc" /> | ||
+ | <Entity>ccm.net.cvut.cz</Entity> | ||
+ | <Entity>http://fastwiki.vutbr.cz/simplesaml/module.php/saml/sp/metadata.php/fastwiki</Entity> | ||
+ | <Entity>http://www.stawiki.cz/simplesaml/module.php/saml/sp/metadata.php/stawiki</Entity> | ||
+ | <Entity>https://adfs-4t.w2lan.cesnet.cz/adfs/services/trust</Entity> | ||
+ | <Entity>https://adm.hostel.eduid.cz/shibboleth</Entity> | ||
+ | <Entity>https://auth.eidas.cesnet.cz/sp</Entity> | ||
+ | <Entity>https://auth.services.bmj.com/auth</Entity> | ||
+ | <Entity>https://camelot.lf2.cuni.cz/shibboleth</Entity> | ||
+ | <Entity>https://cawi.fsv.cuni.cz/simplesaml/module.php/saml/sp/metadata.php/default-sp</Entity> | ||
+ | <Entity>https://collector-metacentrum.liberouter.org/simplesaml/module.php/saml/sp/metadata.php/collector</Entity> | ||
+ | <Entity>https://cz-online.aliveplatform.com/simplesaml/module.php/saml/sp/metadata.php/cz-online.aliveplatform.com</Entity> | ||
+ | <Entity>https://devnull.cesnet.cz/simplesamlphp</Entity> | ||
+ | <Entity>https://digi.law.muni.cz</Entity> | ||
+ | <Entity>https://digitool.is.cuni.cz/shibboleth</Entity> | ||
+ | <Entity>https://dspace.vsb.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://dspace2.zcu.cz/dspace</Entity> | ||
+ | <Entity>https://edu.ista.tacr.cz/ISTA</Entity> | ||
+ | <Entity>https://fedra.cesnet-ca.cz/</Entity> | ||
+ | <Entity>https://fedra.cesnet-ca.cz/force</Entity> | ||
+ | <Entity>https://fedra2.cesnet.cz/sp</Entity> | ||
+ | <Entity>https://filesender.cesnet.cz/saml/sp</Entity> | ||
+ | <Entity>https://gc3.cesnet.cz/shibboleth</Entity> | ||
+ | <Entity>https://index.bbmri.cz/shibboleth</Entity> | ||
+ | <Entity>https://iptel.cesnet.cz/shibboleth/cesnet-internal/sp</Entity> | ||
+ | <Entity>https://iptelix.cesnet.cz/</Entity> | ||
+ | <Entity>https://ista.tacr.cz/ISTA</Entity> | ||
+ | <Entity>https://itmulti.cz/simplesaml/module.php/saml/sp/metadata.php/portal4</Entity> | ||
+ | <Entity>https://journals.bmj.com/shibboleth</Entity> | ||
+ | <Entity>https://login.bbmri-eric.eu/proxy/</Entity> | ||
+ | <Entity>https://login.ceitec.cz/proxy/</Entity> | ||
+ | <Entity>https://login.elixir-czech.org/proxy/</Entity> | ||
+ | <Entity>https://login.ezproxy.is.cuni.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://login.ezproxy.uochb.cas.cz:2443/sp/shibboleth</Entity> | ||
+ | <Entity>https://login.ezproxy.vscht.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://mefanet-motol.cuni.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://meta.cesnet.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://mooc.cuni.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://nfsmon.ics.muni.cz/</Entity> | ||
+ | <Entity>https://odevzdej.cz/shibboleth/</Entity> | ||
+ | <Entity>https://onlineca.cesnet-ca.cz/</Entity> | ||
+ | <Entity>https://onlineca.cesnet-ca.cz/force</Entity> | ||
+ | <Entity>https://orca.ruk.cuni.cz/shibboleth</Entity> | ||
+ | <Entity>https://pentest.cesnet.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://portal.lf3.cuni.cz/shibboleth/sp</Entity> | ||
+ | <Entity>https://postudium.cz/auth/saml2/sp/metadata.php</Entity> | ||
+ | <Entity>https://proxy.lifescienceid.org/metadata/backend.xml</Entity> | ||
+ | <Entity>https://repozitar.cz/shibboleth/</Entity> | ||
+ | <Entity>https://saint.cesnet.cz/shibboleth</Entity> | ||
+ | <Entity>https://seth.ics.muni.cz/shibboleth</Entity> | ||
+ | <Entity>https://shib-test.cup.cam.ac.uk/shibboleth-sp</Entity> | ||
+ | <Entity>https://shibmon.eduid.cz/shibboleth</Entity> | ||
+ | <Entity>https://sip.cesnet.cz/sp/shibboleth</Entity> | ||
+ | <Entity>https://sip.cesnet.cz/sp/shibboleth/cesnet</Entity> | ||
+ | <Entity>https://softweco.cz/shibboleth-sp</Entity> | ||
+ | <Entity>https://su-dev.fit.vutbr.cz/kis</Entity> | ||
+ | <Entity>https://su-int.fit.vutbr.cz/kis</Entity> | ||
+ | <Entity>https://tcs-dev.cesnet.cz/simplesaml/</Entity> | ||
+ | <Entity>https://tcs.cesnet.cz/simplesaml/</Entity> | ||
+ | <Entity>https://teleinform.cz/simplesaml/module.php/saml/sp/metadata.php/portal1</Entity> | ||
+ | <Entity>https://telekomunikace-tit.cz/simplesaml/module.php/saml/sp/metadata.php/portal3</Entity> | ||
+ | <Entity>https://test.ista.tacr.cz/ISTA</Entity> | ||
+ | <Entity>https://thalamoss-data.ics.muni.cz/shibboleth</Entity> | ||
+ | <Entity>https://theses.cz/shibboleth/</Entity> | ||
+ | <Entity>https://vnweb.hwwilsonweb.com/shibboleth</Entity> | ||
+ | <Entity>https://vut-vsb.cz/simplesaml/module.php/saml/sp/metadata.php/portal2</Entity> | ||
+ | <Entity>https://vvvd.vsb.cz/shibboleth</Entity> | ||
+ | <Entity>https://wikisofia.cz/shibboleth</Entity> | ||
+ | <Entity>https://www.bookport.cz/</Entity> | ||
+ | <Entity>https://www.cistbrno.cz/</Entity> | ||
+ | <Entity>https://www.citacepro.com/simplesaml/module.php/saml/sp/metadata.php/eduid-sp</Entity> | ||
+ | <Entity>https://www.eunis.cz/simplesamlphp/module.php/saml/sp/metadata.php/eunis</Entity> | ||
+ | <Entity>https://www.jib.cz/shibboleth</Entity> | ||
+ | <Entity>https://www.levna-knihovna.cz/simplesamlphp/module.php/saml/sp/metadata.php/default-sp</Entity> | ||
+ | <Entity>https://www.liberouter.org/simplesamlphp/module.php/saml/sp/metadata.php/liberouter</Entity> | ||
+ | <Entity>https://www.mecenat.eu/sp</Entity> | ||
+ | <Entity>https://www.vutbr.cz/SSO/saml2/sp</Entity> | ||
+ | <Entity>https://xploreuat.ieee.org/shibboleth-sp</Entity> | ||
+ | |||
+ | </MetadataFilter> | ||
+ | |||
+ | </MetadataProvider> | ||
+ | |||
+ | <!-- eduGAIN --> | ||
+ | <MetadataProvider | ||
+ | id="edugain" | ||
+ | xsi:type="FileBackedHTTPMetadataProvider" | ||
+ | backingFile="%{idp.home}/metadata/edugain.xml" | ||
+ | metadataURL="https://metadata.eduid.cz/entities/edugain+sp" | ||
+ | maxRefreshDelay="PT30M"> | ||
+ | |||
+ | <MetadataFilter | ||
+ | xsi:type="SignatureValidation" | ||
+ | requireSignedRoot="true" | ||
+ | certificateFile="%{idp.home}/credentials/metadata.eduid.cz.crt.pem" /> | ||
+ | |||
+ | <MetadataFilter | ||
+ | xsi:type="RequiredValidUntil" | ||
+ | maxValidityInterval="P30D" /> | ||
+ | |||
+ | <MetadataFilter | ||
+ | xsi:type="Algorithm"> | ||
+ | |||
+ | <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/> | ||
+ | <ConditionRef>shibboleth.Conditions.TRUE</ConditionRef> | ||
+ | |||
+ | </MetadataFilter> | ||
+ | |||
+ | </MetadataProvider> | ||
+ | </code> | ||
+ | |||
+ | </WRAP> | ||
Metadata federací eduID.cz i eduGAIN jsou podepsána. //Důrazně doporučujeme tedy jejich autenticitu ověřovat pomocí kontroly podpisu!// Veřejný klíč je k dispozici na adrese https://www.eduid.cz/docs/eduid/metadata/metadata.eduid.cz.crt.pem. Stáhněte ho a uložte do adresáře ''/opt/shibboleth-idp/credentials''. | Metadata federací eduID.cz i eduGAIN jsou podepsána. //Důrazně doporučujeme tedy jejich autenticitu ověřovat pomocí kontroly podpisu!// Veřejný klíč je k dispozici na adrese https://www.eduid.cz/docs/eduid/metadata/metadata.eduid.cz.crt.pem. Stáhněte ho a uložte do adresáře ''/opt/shibboleth-idp/credentials''. |