AAIInterop-OpenSSOShib2

Innen: KIFÜ Wiki


OpenSSO IdP - Shibboleth2 SP Interoperabilitás

SAML2.0 Single Sign on

HTTP-Post

 <SessionInitiator type="Chaining" Location="/Login" id="maszat-opensso-post"
    relayState="cookie" entityID="https://idp.sch.bme.hu/niif-teszt">
    <SessionInitiator type="SAML2" defaultACSIndex="1" template="bindingTemplate.html"/>
 </SessionInitiator>

HTTP-Artifact

  • Az OpenSSO nem figyel arra hogy az SP milyen AttributeConsumerService-t kér, így az IDP oldalon kell konfigurálni az SP tulajdonságait úgy, hogy az alapbeállítás ne a POST legyen.
  • TODO - Trust management a back-channel kommunikációnál a tanusítványt ismernie kell az SP-nek.
  • JVM beállítása a kliens tanúsítvány használatához - https://opensso.dev.java.net/issues/show_bug.cgi?id=1409

Attribute push

Attribute pull

  • Az OpenSSO-ban nem lehet kikapcsolni az attribute push-t. FIXME

NameIDFormat

  • A Shibboleth2 SP által generált metaadatba kézzel be kell illeszteni a NameIDFormat node-ot
  • Az OpenSSO támogatja a perzisztens és a tranziens SAML2 azonosítót is.

SAML2.0 Single Log out

Metaadat problémák

  • A Shibboleth2 SP metaadatból el kell távolítani az <md:Extensions> node-ot az összes gyerekelemével együtt.
    • Erre nagyon figyelni kell, mert összeomlik tőle az OpenSSO, és csak címtár-módosítással ('hibás' metaadat törlése) állítható helyre.
    • Sajnos nem triviális javítani ezt a viselkedést...
  • A metaadatba ágyazott certificate esetén csak a <ds:X509Certificate> node szerepelhet, semmi más