cs:tech:standaloneidps

Standalone IdPs

Obecný popis

Federace Standalone IdPs je určena pro IdP, která nejsou (a nebudou) součástí žádné „standardní“ federace (czTestFed, eduID.cz, eduGAIN, …). Jedná se o federaci pro IdP, která je ovšem v určitých případech (= chce-li to služba) potřeba zobrazit ve WAYFu. Při generování filtru pro WAYF je třeba povolit federaci StandaloneIdP. Tím se zobrazí všechna IdP v této federaci. Je možné však vybrat a zobrazit jen určitá IdP.

Technické záležitosti

IdP, které má být zařazeno do federace Standalone IdPs, je třeba zaregistrovat v Jaggeru do federace Standalone IdPs. Po schválení generátor metadat vygeneruje podepsaná metadata federace a vystaví je na adrese https://metadata.eduid.cz/entities/standaloneidps.

Shibboleth SP

V konfiguračním souboru /etc/shibboleth/shibboleth2.xml přidáme zdroj metadat:

<!-- Standalone IdPs -->
<MetadataProvider type="XML" uri="https://metadata.cesnet.cz/entities/standaloneidps"
    backingFilePath="standaloneidps.xml" reloadInterval="900">
    <MetadataFilter type="Signature" certificate="/etc/ssl/certs/metadata.eduid.cz.crt.pem"/>
</MetadataProvider>

Metadata se budou automaticky stahovat kažých 15 minut (reloadInterval se udává v sekundách; 900 sekund je 15 minut).

Do adresáře /etc/ssl/certs si stáhneme veřejný klíč, pomocí kterého bude Shibboleth SP kontrolovat stažená metadata:

wget -P /etc/ssl/certs \
    https://www.eduid.cz/docs/eduid/metadata/metadata.eduid.cz.crt.pem

Musíme také nakonfigurovat WAYF. V případě, že chceme nějakým způsobem filtrovat zobrazená IdP, budeme si muset nejprve vygenerovat filtr pro WAYF. Konfigurace se pak provádí v /etc/shibboleth/shibboleth2.xml:

<SSO discoveryProtocol="SAMLDS"
    discoveryURL="https://ds.eduid.cz/wayf.php?filter=eyJ2ZXIiOiIyIiwiYWxsb3dGZWVkcyI6eyJTdGFuZGFsb25lSWRQIjp7fX19">
    SAML2 SAML1
</SSO>

Výše uvedené nastavení způsobí, že WAYF zobrazí pouze IdP z federace Standalone IdPs.

Poslední úprava:: 2018/08/14 13:34