1 260
szerkesztés
Módosítások
elavult, most mar a jo sablonnal
{{SHIB_OLD}}Az IdP alkalmazást az '''<code>idp.xml</code> ''' állományon keresztül konfigurálhatjuk. Ebben a leírásban feltételezzük, hogy az IdP alkalmazás konfigurációs állományai a '''<code>/etc/shibboleth-idp</code> ''' könyvtárban vannak.
== Működő példa konfiguráció ==
resolverConfig="file:/etc/shibboleth-idp/resolver.ldap.xml"
defaultRelyingParty="urn:niif.hu:aai:HREF"
defaultAuthMethod="urn:oasis:names:tc:SAML:1.0:am:password"
providerId="https://idp.niif.hu/shibboleth">
<RelyingParty name="urn:niif.hu:aai:HREF" signingCredential="href_cred">
<NameID nameMapping="hashib_mappingshm"/> </RelyingParty> <RelyingParty name="urn:geant:niif.hu:niifi:sp:register.ca.niif.hu" signingCredential="href_cred" forceAttributePush="true"> <NameID nameMapping="shm"/>
</RelyingParty>
</IdPConfig>
</source>
== XML elemek magyarázata ==
=== IdPConfig ===
Általában nem szükséges megadni:
* ''authHeaderName'': itt kell megadni, ha az [[SSO Handler]] más változóban adja át kapja meg a felhasználó azonosítóját (principal), mint a REMOTE_USER szerver változó
* ''defaultAuthMethod'': megadható, hogy az elkészített SAML [[Assertion]] milyen autentikációs metódust tartalmazzon. A lehetséges értékek a [http://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf SAML 1.1 specifikáció] 7.1-es szakaszában találhatók. Ha nincs megadva, akkor az értéke <code>urn:oasis:names:tc:SAML:1.0:am:unspecified</code>. A <code>defaultAuthMethod</code> értéke RelyingParty szintjén felülbírálható
* ''maxSigningThreads'': az üzenet aláírására és egyéb műveletekre indított thread-ek maximális száma. Az IdP teljesítménye hangolható ezzel.
* ''forceAttributePush'': boolean változó, ennek segítségével ki lehet kényszeríteni az [[Attribute Push]] használatát. Alapértelmezett érték: false
A RelyingParty element NameID gyermeke segítségével állítható be a használt [[ShibIdPConfig#NameMapping | NameID kezelés]].
=== ReleasePolicyEngine ===
=== NameMapping ===
Ebben az elemben adható meg a NameMapper implementációja, illetve az [[Assertion|assertionökben]] használt azonosító (Subject Identifier) formátuma.
: <small>Az alapértelmezett értékek az esetek többségében megfelelők, csak akkor módosítsd, ha tudod, mit csinálsz!</small>
;Attribútumok:
* ''id'': egyedi név, erre lehet hivatkozni a NameID elementben.
* ''format'' (URI): ez határozza meg a Subject Identifier formátumát. Tetszőleges URN használható, amiben az IdP és az SP megegyezik. Néhány gyakrabban használt formátum:
** <code>urn:mace:shibboleth:1.0:nameIdentifier</code>: alapértelmezett Shibboleth azonosító (tranziens, átlátszó)
** <code>urn:oasis:names:tc:SAML1.1:nameid-format:X509SubjectName</code>: X.509 tanúsítvány DN. A [http://gridshib.globus.org/ GridShib] használja ezt a formátumot.
** <code>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</code>: email-cím, használata nem javasolt
** <code>http://schemas.xmlsoap.org/claims/UPN</code>: MS UPN, az [[ADFS Integráció|ADFS]] integrációhoz használható
* ''class'': a NameMapper implementációjának a javaclass útvonala. ([[HAShib]] használatához módosítani kell.) <br>A további attribútumok csak az alapértelmezett implementáció esetén értelmezhetők.
* ''handleTTL'': azt határozza meg, hogy az IdP mennyi ideig őrizze a Session Cache-ében a kiosztott azonosítókat. (Csak <code>urn:mace:shibboleth:1.0:nameIdentifier</code> formátum esetén értelmezhető.) Ezt követően erre az azonosítóra történő hivatkozás már nem lesz megengedett, a felhasználónak esetleg újra kell azonosítania magát.
* ''type'': azt adja meg, hogy az [[SSO Handler]] és az [[Attribute Authority]] között milyen formában utazzanak az azonosítók. Lehetséges értékek:
**<code>CryptoHandleGenerator</code>: szimmetrikus kódolással titkosított azonosítók használata
**<code>Principal</code>: az [[SSO Handler]]-től megkapott azonosító átadása az [[Attribute Authority]-nek
**<code>SharedMemoryShibHandle</code>: (alapértelmezett) megosztott, memóriában tárolt session cache. Ha az [[SSO Handler]] és az [[Attribute Authority]] egy konténerben futnak, ezt érdemes használni.
=== ArtifactMapper ===
Itt adható meg az ArtifactMapper implementációja. [[HAShib]] használata esetén át kell állítani.
=== Credentials ===
Ebben az elemben adhatók meg a használt titkos kulcsok és tanúsítványok. Több is megadható, az ''id'' attribútum értékével hivatkozhatunk rájuk, pl a [[ShibIdPConfig#RelayingParty | RelayingParty konfigurációban]].
=== ProtocolHandler ===
Itt adhatók meg az egyes handler servletek elérhetőségei. Általában nem szükséges felülírni!
== Forrás ==
; Shibboleth Wiki
* [https://spaces.internet2.edu/display/SHIB/IdPMainConfig IdP fő konfiguráció]
* [https://spaces.internet2.edu/display/SHIB/IdPRelyingConfig Relying Party konfiguráció]
* [https://spaces.internet2.edu/display/SHIB/IdPUserAuthnConfig NameMapping]
[[Kategória: Shibboleth IdP]]
[[Kategória: Shibboleth IdP konfiguráció]]
