Módosítások

HREF Key Rollover 2020

3 885 bájt hozzáadva, 2021. április 19., 16:21
SimpleSAMLphp
== Bevezetés ==
A HREF új metadata aláíró kulcsra áll át a SAML 2.0 metaadataiban. Ehhez HREF szövetségi tagnak és partnernek új metadata aláíró kulcsokat konfigurálni és be kell töltenie az eduID.hu-t támogató rendszereiben. Ezt mostantól 20212022. május január 1.-ig kell megtenni. Ezt követően a régi (több mint 6 éves) kulcs letiltásra kerül, és a felhasználók már nem tudnak bejelentkezni egy olyan szolgáltatásba, amely még mindig a régi kulcsot használja. A szokásos IdP és SP szoftverekben a változtatásnak egyszerűnek és jelentős leállás nélkül kell történnie. Lásd a beállításokat.
A szokásos SP szoftverekben a változtatásnak egyszerűnek és jelentős leállás nélkül kell történnie. Lásd a beállításokat.
== Key Rollover ==
A metadata aláíró kulcs csere cseréje miatt szükséges a meglévő IdP/SP beállítások módosítása.
=== Elnevezések ===
{| class="wikitable"
! Elnevezés || Tanúsítvány Metaadat aláíró tanúsítvány || Kivezetés tervezett időpontja
|-
|-
| HREF-2011 || style="text-align:center;" | [https://metadata.eduid.hu/certs/href-metadata-signer-2011.crt href-metadata-signer-2011.crt ] || style="text-align:center;" | 2022.01.01.
|-
| HREF-2015 || style="text-align:center;" | [https://metadata.eduid.hu/certs/mdx-test-signer-2020.crt mdx-test-signer-2015.crt ] || style="text-align:center;" | 2022.01.01.
|-
| HREF-2020 || style="text-align:center;" | [https://metadata.eduid.hu/certs/href-metadata-signer-2020.crt href-metadata-signer-2020.crt ] || style="text-align:center;" | 20262025.0106.0114.|} === SHA1 fingerprints === {| class="wikitable"! Elnevezés || SHA1 fingerprint|-|-| HREF-2011 || style="text-align:center;" | <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66</code>|-| HREF-2015 || style="text-align:center;" | <code>91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>|-| HREF-2020 || style="text-align:center;" | <code>C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61</code>
|}
! Domain || Technikai domain || Kulcs || Állapot
|-
| rowspan="2" | metadata.eduid.hu || <code>metadata.eduid.hu/2011/href.xml </code> || HREF-2011 || style="text-align:center;" | Prod
|-
| <code>metadata.eduid.hu/2020/href.xml </code> || HREF-2020 || style="text-align:center;" | Prod
|-
| rowspan="2" | mdx.eduid.hu || <code>mdx-2015.eduid.hu </code> || HREF-2011 || style="text-align:center;" | Prod
|-
| <code>mdx-2020.eduid.hu </code> || HREF-2020 || style="text-align:center;" | Prod
|-
|}
=== XML ===
https://wiki.shibboleth.net/confluence/display/SP3/XMLMetadataProvider <syntaxhighlight lang="xml" line>
<MetadataProvider type="Chaining">
<MetadataProvider type="XML" id="href-2011" url="http://metadata.eduid.hu/2011/href.xml" backingFilePath="href-2011.xml">
==== Shibboleth 3.X ====
https://wiki.shibboleth.net/confluence/display/SP3/MDQMetadataProvider <syntaxhighlight lang="xml" line><MetadataProvider type="MDQ" id="href-2015" ignoreTransport="true" baseUrl="https://mdx-2015.eduid.hu/">
<MetadataFilter type="Signature" certificate="mdx-test-signer-2015.crt"/>
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000"/>
</MetadataProvider>
<MetadataProvider type="MDQ" id="href-2020" ignoreTransport="true" baseUrl="https://mdx-2020.eduid.hu/">
<MetadataFilter type="Signature" certificate="href-metadata-signer-2020.crt"/>
<MetadataFilter type="RequireValidUntil" maxValidityInterval="864000"/>
==== Shibboleth 2.X ====
<syntaxhighlight lang="xml" line>
<MetadataProvider type="Dynamic" id="href-2015" ignoreTransport="true">
<Subst>https://mdx-2015.eduid.hu/entities/$entityID</Subst>
<MetadataFilter type="Signature" certificate="mdx-test-signer-2015.crt"/>
</MetadataProvider>
<MetadataProvider type="Dynamic" id="href-2020" ignoreTransport="true">
<Subst>https://mdx-2020.eduid.hu/entities/$entityID</Subst>
<MetadataFilter type="Signature" certificate="href-metadata-signer-2020.crt"/>
</MetadataProvider>
</syntaxhighlight>
 
== Shibboleth Identity Provider beállítások ==
 
=== XML ===
 
==== Shibboleth 4.X ====
 
https://wiki.shibboleth.net/confluence/display/IDP4/FileBackedHTTPMetadataProvider
 
<syntaxhighlight lang="xml">
<MetadataProvider id="RemoteMetadataAggregate" xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/href-2020.xml"
metadataURL="http://metadata.eduid.hu/2020/href.xml">
 
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/conf/metadata/href-metadata-signer-2020.crt"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P9D"/>
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
</syntaxhighlight>
 
==== Shibboleth 3.X ====
 
https://wiki.shibboleth.net/confluence/display/IDP30/FileBackedHTTPMetadataProvider
 
<syntaxhighlight lang="xml">
<MetadataProvider id="RemoteMetadataAggregate" xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/href-2020.xml"
metadataURL="http://metadata.eduid.hu/2020/href.xml">
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/conf/metadata/href-metadata-signer-2020.crt"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P9D"/>
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
</syntaxhighlight>
 
=== MDX ===
 
==== Shibboleth 4.X ====
 
https://wiki.shibboleth.net/confluence/display/IDP4/DynamicHTTPMetadataProvider
 
<syntaxhighlight lang="xml">
<MetadataProvider id="DynamicEntityMetadata" xsi:type="DynamicHTTPMetadataProvider"
connectionRequestTimeout="PT2S"
connectionTimeout="PT2S"
socketTimeout="PT4S">
 
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/credentials/href-metadata-signer-2020.crt"/>
 
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P9D"/>
 
<MetadataQueryProtocol>https://mdx-2020.eduid.hu/</MetadataQueryProtocol>
</MetadataProvider>
</syntaxhighlight>
 
==== Shibboleth 3.X ====
 
https://wiki.shibboleth.net/confluence/display/IDP30/DynamicHTTPMetadataProvider
 
<syntaxhighlight lang="xml">
<MetadataProvider id="DynamicEntityMetadata" xsi:type="DynamicHTTPMetadataProvider"
connectionRequestTimeout="PT2S"
connectionTimeout="PT2S"
socketTimeout="PT4S">
 
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/credentials/href-metadata-signer-2020.crt"/>
 
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P9D"/>
 
<MetadataQueryProtocol>https://mdx-2020.eduid.hu/</MetadataQueryProtocol>
</MetadataProvider>
</syntaxhighlight>
=== MDX ===
<syntaxhighlight lang="php" line>
//config/config.php
'metadata.sources' => [
[
'type' => 'mdq',
'server' => 'https://mdx.eduid.hu', /* --- */ 'validateFingerprint' => '91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43' ], [ 'type' => 'mdq', 'server' => 'https://mdx2020.eduid.hu',
/* --- */
'validateFingerprint' => 'C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61'
=== metarefresh ===
https://simplesamlphp.org/docs/stable/simplesamlphp-maintenance#section_3 https://github.com/simplesamlphp/simplesamlphp-module-metarefresh/blob/master/docs/simplesamlphp-automated_metadata.md <syntaxhighlight lang="php" line>
// config/config-metarefresh.php
$config = [
],
],
'expireAfter' => 60*60*24*7777600, // Maximum 4 days cache time.9 nap
'outputDir' => 'metadata/metarefresh-href-2011/',
'outputFormat' => 'flatfile',
],
],
'expireAfter' => 60*60*24*7777600, // Maximum 4 days cache time9 nap.
'outputDir' => 'metadata/metarefresh-href-2020/',
'outputFormat' => 'flatfile',
</syntaxhighlight>
<syntaxhighlight lang="php" line>
// config/config.php
'metadata.sources' => [
A lap eredeti címe: „https://wiki.niif.hu/index.php?title=Speciális:MobileDiff/4738...4772

Navigációs menü