Módosítások

A Shibboleth2 IdP nem hajlandó elindulni a JVM-mel szállított Sun-féle Xerces implementációval, ezért az IdP csomaggal szállított Xerces és Xalan implementációkat be kell másolni a $JAVA_HOME/lib/endorsed könyvtárba, vagy akövetkező kapcsolóval kell indítani a Tomcat-et:

== LDAP Autentikáció (FORM) beállítása Új SAML SP felvétele ==Szerkesszük Egy új SP felvételéhez csak az SP metaadatára van szükségünk SAMLv2 szabványos XML formában.A metaadatot vagy fizikailag el kell helyezni a ${SHIB_HOME}/metadata könyvtárban, vagy egy URL-en elérhetővé kell tenni a Shibboleth IdP számára. Metaadat-források megadása a ${SHIB_HOME}/conf/loginrelying-party.config xml -ot:ben

ShibUserPassAuth {<!-- több provider megadása láncolással --> edu.vt.middleware.ldap.jaas.LdapLoginModule required host <MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" xmlns="ldapurn:mace:shibboleth:2.example.com0:metadata"> <!-- Fájlrendszerből olvasott metaadat --> <!-- Fill in metadataFile attribute with deployment specific information --> base <MetadataProvider id="ousp1" xsi:type=people,dc=example,dc=com" sslFilesystemMetadataProvider" xmlns="falseurn:mace:shibboleth:2.0:metadata" serviceUser metadataFile="userid=example${SHIB_HOME}/metadata/sp1-system,oumeta.xml" maintainExpiredMetadata=systems,dc=example,dc=com"true"> serviceCredential <!--Metaadat aláírás ellenőrzése --> <!--MetadataFilter xsi:type="passwordSignatureValidation" userFieldtrustEngineRef="uidshibboleth.MetadataTrustEngine";/--> </MetadataProvider> }</MetadataProvider>

Ezután be kell állítani, hogy ezt a bekonfigurált autentikációt használja a Shibboleth (== SAMLv2 Profilok beállítása ==A ${SHIB_HOME}/conf/handlersrelying-party.xml)-ben kell a következő módosításokat eszközölni:

Az authenticationDuration paraméter elhagyása esetén az IdP 30 perc érvényességgel állítja ki <!-- a munkamenetet (saját IDP entityID-je, amivel minden SP-hez egyszerre beállíthatjuk mint provider --> <AuthnStatement SessionNotOnOrAfterDefaultRelyingParty provider="https://idp.example..com/idp/shibboleth" defaultSigningCredentialRef="IdPCredential">), tehát akár aktív tevékenység esetén is 30 perc múlva lejár a felhasználó session-je. Ezt érdemes tehát átállítani magasabb értékre.

A FORM <!-ot az idp.war -ban tudjuk testreszabni 5 perces assertion érvényesség (login.jspóraszinkronizálás IdP - SP között fontos!). A szállított login.jsp által beállított FORM tag és INPUT tagválaszok kötelező digitális aláírása Attribútum push -ek tartalmát ne módosítsuk!-> <ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="300000" assertionProxyCount="0" signResponses="always" signAssertions="never" encryptAssertions="conditional" encryptNameIds="conditional" /> </DefaultRelyingParty>

SP esetén az alapértelmezett beállítások felülírása: <RelyingParty id="https://sp1.example.com/shibboleth" provider= Új SP felvétele "https://idp.example.com/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"> <ProfileConfiguration xsi:type="saml:SAML2SSOProfile" encryptAssertions="never"/> </RelyingParty>