Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
cs:tech:sp:shibboleth [2020/03/26 10:56] – modul shib2 uz neni, jmenuje se shib 1141cd825e33f2281fc659232bcf401af2705c39@einfra.cesnet.cz | cs:tech:sp:shibboleth [2024/08/06 11:49] (aktuální) – [Registrace služby v metadatech federace eduID.cz] Jan Oppolzer |
---|
====== Shibboleth SP 3 ====== | ====== Shibboleth SP 3 ====== |
| |
<WRAP center round tip 100%> | Následující návod popisuje instalaci a konfiguraci [[https://shibboleth.net/products/service-provider.html|Shibboleth SP]] řady 3. Jako poskytovatele služby (Service Provider, SP) můžete také použít [[https://simplesamlphp.org/|SimpleSAMLphp]], jehož instalace a konfigurace je na našich stránkách také [[https://www.eduid.cz/cs/tech/sp/simplesamlphp|zdokumentována]]. |
**Shibboleth SP řady 2.6 a Debian 9 Stretch** | |
| |
Hledáte-li návod pro Shibboleth SP řady 2.6, který je dostupný v Debianu 9 s kódovým označením [[https://www.debian.org/releases/stretch/|Stretch]], naleznete ho na [[cs:tech:sp:shibboleth:2|této stránce]]. | V návodu budeme používat linuxovou distribuci [[https://www.debian.org/|Debian]] v jeho poslední verzi 11 s kódovým označením [[https://www.debian.org/releases/bullseye/|Bullseye]]. Používáte-li jinou distribuci, některé kroky (např. instalace balíčků) se u vás budou odpovídajícím způsobem lišit. |
</WRAP> | |
| |
Následující návod popisuje instalaci a konfiguraci [[https://shibboleth.net/products/service-provider.html|Shibboleth SP]] verze 3.0.4. Jako poskytovatele služby (Service Provider, SP) můžete také použít [[https://simplesamlphp.org/|SimpleSAMLphp]], jehož instalace a konfigurace je na našich stránkách také [[https://www.eduid.cz/cs/tech/sp/simplesamlphp|zdokumentována]]. | |
| |
V návodu budeme používat linuxovou distribuci [[https://www.debian.org/|Debian]] v jeho poslední verzi 10 s kódovým označením [[https://www.debian.org/releases/buster/|Buster]]. Používáte-li jinou distribuci, některé kroky (např. instalace balíčků) se u vás budou odpovídajícím způsobem lišit. | |
| |
<WRAP center round alert 100%> | <WRAP center round alert 100%> |
</WRAP> | </WRAP> |
| |
Návod provází kompletní instalací a konfigurací Shibboleth SP včetně zdrojů metadat federace [[https://www.eduid.cz/cs/tech/summary|eduID.cz]], [[https://www.hostel.eduid.cz|Hostel IdP]] a Social IdPs (Facebook, GitHub, Google, LinkedIn, ORCID). | Návod provází kompletní instalací a konfigurací Shibboleth SP včetně zdrojů metadat federace [[https://www.eduid.cz/cs/tech/summary|eduID.cz]] a Social IdPs (GitHub, Google, LinkedIn, ORCID). |
===== Instalace ===== | ===== Instalace ===== |
| |
<!-- Nastavení handlerSLL a cookieProps --> | <!-- Nastavení handlerSLL a cookieProps --> |
<Sessions lifetime="28800" timeout="3600" relayState="ss:mem" | <Sessions lifetime="28800" timeout="3600" relayState="ss:mem" |
checkAddress="false" handlerSSL="true" cookieProps="https"> | checkAddress="false" handlerSSL="true" cookieProps="https" |
| redirectLimit="exact"> |
</code> | </code> |
| |
==== Metadata federace ==== | ==== Metadata federace ==== |
| |
Metadata federace se nastavují v elementu ''<MetadataProvider>''. V následujících příkladech si ukážeme konfiguraci metadat federace eduID.cz, služby Hostel IdP pro uživatele z organizací bez vlastního IdP a také služeb sociálních IdP jako Facebook, GitHub, Google, LinkedIn a ORCID. | Metadata federace se nastavují v elementu ''<MetadataProvider>''. V následujících příkladech si ukážeme konfiguraci metadat federace eduID.cz a také služeb sociálních IdP jako GitHub, Google, LinkedIn a ORCID. |
| |
Jelikož jsou metadata obou zmíněných federací digitálně podepsána, budeme tento podpis kontrolovat. Pro to si musíme nejprve stáhnout veřejný klíč. | Jelikož jsou metadata obou zmíněných federací digitálně podepsána, budeme tento podpis kontrolovat. Pro to si musíme nejprve stáhnout veřejný klíč. |
<MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
url="https://metadata.eduid.cz/entities/eduid+idp" | url="https://metadata.eduid.cz/entities/eduid+idp" |
backingFilePath="eduid+idp.xml" maxRefreshDelay="900"> | backingFilePath="eduid.xml" maxRefreshDelay="900"> |
| |
<MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> |
<MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> | <MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/> |
</MetadataProvider> | </MetadataProvider> |
| |
</code> | </code> |
| |
Konfigurace služby Hostel IdP jako zdroje metadat: | Konfigurace federace eduGAIN jako zdroje metadat: |
| |
<code xml> | <code xml> |
<!-- Metadata služby Hostel IdP --> | <!-- Metadata federace eduGAIN --> |
<MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
url="https://metadata.eduid.cz/entities/hostel" | url="https://metadata.eduid.cz/entities/edugain+idp" |
backingFilePath="hostel.xml" maxRefreshDelay="900"> | backingFilePath="edugain.xml" maxRefreshDelay="900"> |
| |
<MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> | <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/> |
</code> | </code> |
| |
Konfigurace federace Social IdPs (Facebook, GitHub, Google, LinkedIn a ORCID) jako zdroje metadat: | Konfigurace federace Social IdPs (GitHub, Google, LinkedIn a ORCID) jako zdroje metadat: |
| |
<code xml> | <code xml> |
<!-- Metadata služby Social IdP (Facebook, GitHub, Google, LinkedIn, ORCID) --> | <!-- Metadata služby Social IdP (GitHub, Google, LinkedIn, ORCID) --> |
<MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
url="https://metadata.eduid.cz/entities/socialidps" | url="https://metadata.eduid.cz/entities/socialidps" |
===== Registrace služby v metadatech federace eduID.cz ===== | ===== Registrace služby v metadatech federace eduID.cz ===== |
| |
Nyní je potřeba službu zaregistrovat do federace [[cs:tech:metadata-publication|eduID.cz]]. Stáhněte metadata z adresy ''<nowiki>https://HOSTNAME/Shibboleth.sso/Metadata</nowiki>'' a pošlete metadata na e-mailovou adresu [[eduid-admin@eduid.cz]]. Nezapomeňte e-mail digitálně podepsat odpovídajícím certifikátem a také na skutečnost, že metadata musí poslat odpovídající osoba, tj. jmenovaný administrativní nebo technický kontakt za danou organizaci. | Nyní je potřeba službu zaregistrovat do federace [[cs:tech:metadata-publication|eduID.cz]]. Stáhněte metadata z adresy ''<nowiki>https://HOSTNAME/Shibboleth.sso/Metadata</nowiki>'' a postupujte podle návodu pro [[https://www.eduid.cz/cs/tech/metadata-publication|publikaci metadat]]. |
| |
===== Použití u Apache ===== | ===== Použití u Apache ===== |