Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:tech:sp:shibboleth3 [2019/07/09 14:20] jop@cesnet.cz vytvořeno |
cs:tech:sp:shibboleth3 [2019/11/27 10:17] jan.oppolzer@cesnet.cz [Metadata služby] organizace.cz -> example.org |
||
---|---|---|---|
Řádek 127: | Řádek 127: | ||
<mdui:Description xml:lang="en">Software available for download.</mdui:Description> | <mdui:Description xml:lang="en">Software available for download.</mdui:Description> | ||
<mdui:Description xml:lang="cs">Seznam software ke stažení.</mdui:Description> | <mdui:Description xml:lang="cs">Seznam software ke stažení.</mdui:Description> | ||
- | <mdui:InformationURL xml:lang="en">https://softdb.organizace.cz/en/info</mdui:InformationURL> | + | <mdui:InformationURL xml:lang="en">https://sp.example.org/en/info</mdui:InformationURL> |
- | <mdui:InformationURL xml:lang="cs">https://softdb.organizace.cz/info</mdui:InformationURL> | + | <mdui:InformationURL xml:lang="cs">https://sp.example.org/cs/info</mdui:InformationURL> |
- | <mdui:Logo height="128" width="128">https://img.organizace.cz/logo.png</mdui:Logo> | + | <mdui:Logo height="128" width="128">https://sp.example.org/logo.png</mdui:Logo> |
</mdui:UIInfo> | </mdui:UIInfo> | ||
</md:Extensions> | </md:Extensions> | ||
Řádek 151: | Řádek 151: | ||
<md:OrganizationDisplayName xml:lang="en">Organizace</md:OrganizationDisplayName> | <md:OrganizationDisplayName xml:lang="en">Organizace</md:OrganizationDisplayName> | ||
<md:OrganizationDisplayName xml:lang="cs">Organizace</md:OrganizationDisplayName> | <md:OrganizationDisplayName xml:lang="cs">Organizace</md:OrganizationDisplayName> | ||
- | <md:OrganizationURL xml:lang="en">https://www.organizace.cz/en</md:OrganizationURL> | + | <md:OrganizationURL xml:lang="en">https://www.example.org/en</md:OrganizationURL> |
- | <md:OrganizationURL xml:lang="cs">https://www.organizace.cz/</md:OrganizationURL> | + | <md:OrganizationURL xml:lang="cs">https://www.example.org/cs</md:OrganizationURL> |
</md:Organization> | </md:Organization> | ||
Řádek 158: | Řádek 158: | ||
<md:GivenName>Kryštof</md:GivenName> | <md:GivenName>Kryštof</md:GivenName> | ||
<md:SurName>Šáteček</md:SurName> | <md:SurName>Šáteček</md:SurName> | ||
- | <md:EmailAddress>mailto:krystof.satecek@organizace.cz</md:EmailAddress> | + | <md:EmailAddress>mailto:krystof.satecek@example.org</md:EmailAddress> |
</md:ContactPerson> | </md:ContactPerson> | ||
</md:EntityDescriptor> | </md:EntityDescriptor> | ||
</code> | </code> | ||
+ | |||
+ | === Finální metadata === | ||
Po restartování ''shibd'' procesu budou korektní metadata k dispozici na adrese ''<nowiki>https://HOSTNAME/Shibboleth.sso/Metadata</nowiki>''. | Po restartování ''shibd'' procesu budou korektní metadata k dispozici na adrese ''<nowiki>https://HOSTNAME/Shibboleth.sso/Metadata</nowiki>''. | ||
Řádek 212: | Řádek 214: | ||
<MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | ||
<MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> | <MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> | ||
- | |||
- | <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true" | ||
- | attributeName="http://macedir.org/entity-category" | ||
- | attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" | ||
- | attributeValue="http://refeds.org/category/hide-from-discovery" /> | ||
</MetadataProvider> | </MetadataProvider> | ||
Řádek 231: | Řádek 228: | ||
<MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | ||
<MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> | <MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> | ||
- | |||
- | <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true" | ||
- | attributeName="http://macedir.org/entity-category" | ||
- | attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" | ||
- | attributeValue="http://refeds.org/category/hide-from-discovery" /> | ||
</MetadataProvider> | </MetadataProvider> | ||
</code> | </code> | ||
Řádek 249: | Řádek 241: | ||
<MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | ||
<MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> | <MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> | ||
- | |||
- | <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true" | ||
- | attributeName="http://macedir.org/entity-category" | ||
- | attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" | ||
- | attributeValue="http://refeds.org/category/hide-from-discovery" /> | ||
</MetadataProvider> | </MetadataProvider> | ||
</code> | </code> | ||
Řádek 270: | Řádek 257: | ||
* type="Signature" -- ověří XML podpis v metadatech, | * type="Signature" -- ověří XML podpis v metadatech, | ||
* certificate -- certifikát obsahující veřejný klíč použitý k ověření podpisu metadat. | * certificate -- certifikát obsahující veřejný klíč použitý k ověření podpisu metadat. | ||
- | |||
- | Význam elementu [[https://wiki.shibboleth.net/confluence/display/SP3/DiscoveryFilter|DiscoveryFilter]]: | ||
- | |||
- | * type="Blacklist" -- umožňí z metadat eliminovat některé entity, např. IdP z kategorie "Hide from Discovery". | ||
==== Vygenerování a konfigurace self-sign certifikátu ==== | ==== Vygenerování a konfigurace self-sign certifikátu ==== | ||
Řádek 292: | Řádek 275: | ||
* -e -- entityID, pro které certifikát vystavujeme. | * -e -- entityID, pro které certifikát vystavujeme. | ||
- | Certifikát, resp. klíč, se uloží do souboru ''sp-cert.pem'', resp. ''sp-key.pem'' v adresáři ''/etc/shibboleth/''. Nyní již jen zbývá nakonfigurovat použití self-sign certifikátu v Shibbolethu: | + | Certifikát, resp. klíč, se uloží do souboru ''sp-cert.pem'', resp. ''sp-key.pem'' v adresáři ''/etc/shibboleth/''. Nyní již jen zbývá nakonfigurovat použití self-sign certifikátu v Shibbolethu. Původní elementy ''<CredentialResolver>'' zakomentujeme nebo smažeme a poté na jejich místo uvedeme následující (všimněte si, že oproti původním elementům zde není žádný atribut ''use''): |
<code xml> | <code xml> | ||
- | <CredentialResolver type="File" use="signing" | + | <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> |
- | key="sp-key.pem" certificate="sp-cert.pem"/> | + | |
- | <CredentialResolver type="File" use="encryption" | + | |
- | key="sp-key.pem" certificate="sp-cert.pem"/> | + | |
</code> | </code> | ||