cs:tech:standaloneidps

Standalone IdPs

Federace Standalone IdPs je v udržovací fázi a je plánováno její zrušení. Z tohoto důvodu nová IdP neakceptujeme.

Obecný popis

Federace Standalone IdPs je určena pro IdP, která nejsou (a nebudou) součástí žádné „standardní“ federace (eduID.cz, eduGAIN, …). Jedná se o federaci pro IdP, která je ovšem v určitých případech (= chce-li to služba) potřeba zobrazit ve WAYFu. Při generování filtru pro WAYF je třeba povolit federaci StandaloneIdP. Tím se zobrazí všechna IdP v této federaci. Je možné však vybrat a zobrazit jen určitá IdP.

Technické záležitosti

IdP, které má být zařazeno do federace Standalone IdPs, je třeba zaregistrovat stejným způsobem jako při registraci do federace eduID.cz — vložením metadata do aplikace MetaMan, nebo zasláním validních metadat v příloze e-mailu na adresu eduid-admin@eduid.cz a nezapomenout na podepsání osobním certifikátem. Po schválení generátor metadat vygeneruje podepsaná metadata federace a vystaví je na adrese https://metadata.eduid.cz/entities/standaloneidps.

Shibboleth SP

V konfiguračním souboru /etc/shibboleth/shibboleth2.xml přidáme zdroj metadat:

<!-- Standalone IdPs -->
<MetadataProvider type="XML" validate="true"
    url="https://metadata.eduid.cz/entities/standaloneidps"
    backingFilePath="socialidps.xml" maxRefreshDelay="900">
    <MetadataFilter type="RequireValidUntil" maxValidityInterval="2592000"/>
    <MetadataFilter type="Signature" certificate="metadata.eduid.cz.crt.pem" verifyBackup="false"/>
</MetadataProvider>

Metadata se budou automaticky stahovat kažých 15 minut (reloadInterval se udává v sekundách; 900 sekund je 15 minut).

Do adresáře /etc/ssl/certs si stáhneme veřejný klíč, pomocí kterého bude Shibboleth SP kontrolovat stažená metadata:

wget -P /etc/ssl/certs \
    https://www.eduid.cz/docs/eduid/metadata/metadata.eduid.cz.crt.pem

Musíme také nakonfigurovat WAYF. V případě, že chceme nějakým způsobem filtrovat zobrazená IdP, budeme si muset nejprve vygenerovat filtr pro WAYF. Konfigurace se pak provádí v /etc/shibboleth/shibboleth2.xml:

<SSO discoveryProtocol="SAMLDS"
    discoveryURL="https://ds.eduid.cz/wayf.php?filter=eyJ2ZXIiOiIyIiwiYWxsb3dGZWVkcyI6eyJTdGFuZGFsb25lSWRQIjp7fX19">
    SAML2
</SSO>

Výše uvedené nastavení způsobí, že WAYF zobrazí pouze IdP z federace Standalone IdPs.

Poslední úprava:: 2023/05/25 10:05