„Harica” változatai közötti eltérés
(→Egy gyakori probléma) |
|||
| 1. sor: | 1. sor: | ||
| − | = Harica = | + | = Harica eduID intergráció= |
| + | |||
| + | Az új Harica TCS szolgáltató lehetővé teszi az eduGAIN bejelentkezést "Institutional Login" gomb segítségével. | ||
= Harica bejelentkezés eduID-val nem műküdik = | = Harica bejelentkezés eduID-val nem műküdik = | ||
| 31. sor: | 33. sor: | ||
| − | == Megoldás == | + | == SSP 2.x Megoldás == |
Az attribútumok kezelésére a [[https://github.com/NIIF/simplesamlphp-module-attributelimit| NIIF SimpleSAMLphp AttributeLimit ]] modul került használatra. Az alábbi konfiguráció az authproc szekcióban biztosítja, hogy a szükséges attribútumok átadásra kerüljenek a HARICA SP-jeinek. | Az attribútumok kezelésére a [[https://github.com/NIIF/simplesamlphp-module-attributelimit| NIIF SimpleSAMLphp AttributeLimit ]] modul került használatra. Az alábbi konfiguráció az authproc szekcióban biztosítja, hogy a szükséges attribútumok átadásra kerüljenek a HARICA SP-jeinek. | ||
| 77. sor: | 79. sor: | ||
== Egyéb megoldás == | == Egyéb megoldás == | ||
| − | Amennyiben az idp-nk nem simplesamlphp vagy nem szeretnénk az attributelimit modult használni, más módon kell | + | Amennyiben az idp-nk nem simplesamlphp vagy nem szeretnénk az attributelimit modult használni, más módon kell az IdP-t konfigurálni a kötelező attribútumok kiadására. |
A lap jelenlegi, 2025. január 23., 11:15-kori változata
Tartalomjegyzék
[elrejtés]Harica eduID intergráció
Az új Harica TCS szolgáltató lehetővé teszi az eduGAIN bejelentkezést "Institutional Login" gomb segítségével.
Harica bejelentkezés eduID-val nem műküdik
A HARICA rendszerében a felhasználói fiók létrehozása nem sikerül, mert az Identity Provider (IdP) nem biztosítja a szükséges attribútumokat a Service Provider (SP) részére. A hibaüzenet a következő:
"Your Identity Provider (IdP) does not provide HARICA with the appropriate info (attributes) for your account. Please contact your IdP to fix this issue."
A megoldáshoz szükséges attribútumok listája a következő:
| Attribútum | OID | Kötelező |
|---|---|---|
| eduPersonTargetedID | urn:oid:1.3.6.1.4.1.5923.1.1.1.10 | Igen |
| givenName | urn:oid:2.5.4.42 | Igen |
| urn:oid:0.9.2342.19200300.100.1.3 | Igen | |
| surname | urn:oid:2.5.4.4 | Igen |
| displayName | urn:oid:2.16.840.1.113730.3.1.241 | Nem |
| eduPersonEntitlement | urn:oid:1.3.6.1.4.1.5923.1.1.1.7 | Nem |
| eduPersonOrgUnitDN | urn:oid:1.3.6.1.4.1.5923.1.1.1.3 | Nem |
| eduPersonPrimaryAffiliation | urn:oid:1.3.6.1.4.1.5923.1.1.1.5 | Nem |
SSP 2.x Megoldás
Az attribútumok kezelésére a [NIIF SimpleSAMLphp AttributeLimit ] modul került használatra. Az alábbi konfiguráció az authproc szekcióban biztosítja, hogy a szükséges attribútumok átadásra kerüljenek a HARICA SP-jeinek.
Konfiguráció
Az alábbi beállításokat add hozzá ahhoz a filehoz ahol az authproc történik, pl saml20-idp-hosted.php:
10 => [
'class' => 'attributelimit:AttributeLimit',
'https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp' => [
'urn:oid:0.9.2342.19200300.100.1.3', // mail
'urn:oid:1.3.6.1.4.1.5923.1.1.1.6', // eduPersonPrincipalName
'urn:oid:2.5.4.42', // givenName
'urn:oid:2.5.4.4', // surname (sn)
'urn:oid:2.16.840.1.113730.3.1.241', // displayName
'urn:oid:1.3.6.1.4.1.25178.1.2.9', // schacHomeOrganization
'urn:oid:1.3.6.1.4.1.5923.1.1.1.10', // eduPersonTargetedId
],
'https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp' => [
'urn:oid:0.9.2342.19200300.100.1.3', // mail
'urn:oid:1.3.6.1.4.1.5923.1.1.1.6', // eduPersonPrincipalName
'urn:oid:2.5.4.42', // givenName
'urn:oid:2.5.4.4', // surname (sn)
'urn:oid:2.16.840.1.113730.3.1.241', // displayName
'urn:oid:1.3.6.1.4.1.25178.1.2.9', // schacHomeOrganization
'urn:oid:1.3.6.1.4.1.5923.1.1.1.10', // eduPersonTargetedId
],
],
Magyarázat
1. Az `authproc` szekcióban a `attributelimit` modul segítségével szabályozzuk, hogy mely attribútumok kerüljenek továbbításra az SP részére.
2. Az egyes SP-khez tartozó attribútumokat külön definiáljuk az SP metaadat URL alapján.
3. Az attribútumokat az OID alapján adjuk meg, például:
- `urn:oid:0.9.2342.19200300.100.1.3` a **mail** attribútumot jelenti.
Ellenőrzés
Jelentkezz be az IdP-n keresztül, és ellenőrizd, például saml tracer segítségével hogy átadásra kerülnek e a kötelező attribútumok.
Egyéb megoldás
Amennyiben az idp-nk nem simplesamlphp vagy nem szeretnénk az attributelimit modult használni, más módon kell az IdP-t konfigurálni a kötelező attribútumok kiadására.
