Módosítások

← Régebbi szerkesztés

SimpleSAMLphp

4 486 bájt hozzáadva, 2018. október 29., 16:30

→‎Letöltés

Az alábbi lapon megkíséreljük összefoglalni a legfontosabb lépéseket, melyek általános esetben elegendőek ahhoz, hogy működő SimpleSAMLphp(SSP) alkalmazást állítsunk üzembe.

==Telepítés==

A leírás a forrásból történő telepítés lépéseit írja le. Az itt részletezetten kívül a SimpleSAMLphp telepíthető ~~még:~~* [https://getcomposer.org/ composer] használatával* Debian (vagy más) operációs rendszer ~~csomagból~~ ~~{{ATTENTION|Debian csomag használata esetén~~ csomagjából, de ebben az esetben ne telepítsunk composerrel third-party (pl. általunk készített) modulokat! }}

===Előkészületek===

Ahhoz, hogy problémamentesen telepíthessük SSP alkalmazásunkat, az alábbi szoftverkomponenseknek kell működniük szerverünkön.

* PHP futtatására alkalmas webszerver

* PHP környezet (~~legalább~~ >=5.~~2.0 verzió~~4)

* A következő PHP kiterjesztéseket engedélyezni kell

** <code>date</code>, <code>dom</code>, <code>hash</code>, <code>libxml</code>, <code>openssl</code>, <code>pcre</code>, <code>SPL</code>, <code>zlib</code>

** Memcache használata esetén: <code>memcache</code>

** HEXAA integrációhoz (SP): <code>soap</code>

====Debian 9 / Ubuntu 16.04 LTS csomagok====

sudo apt install php php-dom mcrypt php-xml php-mbstring

====RHEL / CentOS 7 csomagok====

A '''php-mcrypt''' csomaghoz engedélyezni kell az "''epel-release''"-t.

sudo yum install epel-release

sudo yum update

sudo yum install php php-dom php-mcrypt php-xml php-mbstring php-common mod_ssl

====Composer====

A '''[https://getcomposer.org composer]''' PHP csomagkezelőt is telepíteni kell (akár forrásból, akár csomagból), hogy telepíteni lehessen a SimpleSAMLphp futásához szükséges PHP library-ket.

===Letöltés===

A ~~legfrissebb változat letölthető~~ GitHubról történő telepítés előnye, hogy a simplesamlphp könnyen frissíthető marad, csak a third party modulokat kell újratelepíteni. Az utolsó stabil verzió számát a https://simplesamlphp.org/download ~~címről~~oldalról tudhatjuk meg.

cd /var

~~tar xzf~~ git clone https://github.com/simplesamlphp/simplesamlphp-1.~~x.y.tar.gz~~git mv cd simplesamlphp git checkout tags/v1.16.2 -1b v1.x16.~~y simplesamlphp~~2 ~~Alapértelmezés szerint a <code>/var/simplesamlphp</code> alatt szeretne majd működni, ez természetesen változtatható, de most maradunk az eredeti beállításoknál.~~ composer install --no-dev

===Apache konfigurálás===

A webről csak a <code>/var/simplesamlphp/www</code> könyvtárat kell elérni.'''Tilos''' a teljes simplesamlphp könyvtárat a DocumentRoot alá tenni!

Alias /simplesaml /var/simplesamlphp/www

Require all granted

</Directory>

===Alapbeállítások===

====Konfigurációs fájlok másolása====

Mielőtt aktiváljuk valamelyik főszolgáltatását (IdP,SP...) a telepített alkalmazásnak, néhány beállítást meg kell adnunk a <code>config/config.php</code> és <code>config/authsources.php</code> konfigurációs fájlokban.

* '''config.php''' másolása a '''config-templates''' mappából

cp config-templates/config.php config/

* '''authsources.php''' másolása a '''config-templates''' mappából

cp config-templates/authsources.php config/

A '''config.php''' és '''authsources.php''' fájlok másolása utána ellenőrizzük, hogy a SimpleSAMLphp működik-e, a https://example.org/simplesaml oldalon.

====Konfigurációs fájlok szerkesztése====

=====Adminisztrációs adatok beállítása=====

Amennyiben az SimpleSAMLphp kezdőlapja hiba nélkül megjelent, akkor nyissuk meg a '''config/config.php''' fájl szerkesztésre és végezzük el az alábbi beállításokat.

~~===Alapbeállítások===~~

~~Mielőtt aktiváljuk valamelyik főszolgáltatását (IdP,SP...) a telepített alkalmazásnak, néhány beállítást meg kell adnunk a konfigurációs fájlban <code>config/config.php</code>.~~

* '''Az "admin" felhasználó jelszavát, mellyel webes felületen keresztül be tud lépni a települő SSP-be.'''

'auth.adminpassword' => 'ujjelszotirdide',

'language.default' => 'hu',

'timezone' => 'Europe/Budapest',

Az alapadatok megadása után mentsük és zárjuk be a '''config.php'''-t.

=====Naplózás beállítása=====

Alapértelmezetten a SimpleSAMLphp a '''syslog'''-ba irányítja a naplózást.

Ha fájlba akarunk naplózni, akkor a megfelelő könyvtárhoz biztosítsunk írás jogot a webszerver felhasználónak, és ne felejtsünk el gondoskodni a naplófájlok rotálásáról!

* '''log''' mappa létrehozása és jogosultság beállítása

sudo mkdir log; sudo chown www-data:adm log; sudo chmod 755 log

* Naplózási szint beállítása a '''config/config.php'''-ban

'debug' => array(

'saml' => true,

'backtraces' => true,

'validatexml' => false,

),

'logging.level' => SimpleSAML\Logger::DEBUG,

'logging.handler' => 'file',

A "SimpleSAML\Logger::DEBUG" a legrészletesebb naplózási beállítás, éles rendszernél nem ajánlott csak hiba keresés esetén.

=====Tanúsítvány készítése=====

Nem ajánlott a SimpleSAMLphp-hoz és webszerverhez ugyanazt a tanúsítvány használni!

* A SimpleSAMLphp alapértelmezetten a tanúsítványt a '''cert''' mappában keresi.

mkdir cert

* Az alábbi paranccsal egy 10 éves [[FedCerts | self-signed tanúsítvány]] generálunk a SimpleSMALphp számára.

openssl req -new -newkey rsa:2048 -x509 -days 3652 -nodes -out cert/saml-example-org.crt -keyout cert/saml-example-org.key

A fingerprint az alábbi módon kérdezhető le a legegyszerűbben

openssl x509 -fingerprint -noout -in cert/saml-example-org.crt

===Telepítés kész===

Amennyiben elkészültünk a fenti lépésekkel, úgy a [https://service.example.org/simplesaml/ https://service.example.org/simplesaml/] címen elérjük a telepített SSP-nk webes adminfelületét, ahol megejthetjük a további beállítások nagy részét.

==Identity Provider (IdP ) beállítás=====~~IdP funkció engedélyezése~~Alapbeállítások===~~A <code>~~'''IdP''' engedélyezése: a '''config/config.php~~</code> fájlt~~ ''' fájlban kell ~~szerkesztenünk, s engedélyezni~~ a saml20 idp ~~lehetőséget~~-t "true"-re állítani.

'enable.saml20-idp' => true,

===~~Autentikáció~~ LDAP ~~alapon~~autentikáció===

Meg kell adni, hogy az IdP milyen módon azonosítsa a felhasználót, amennyiben alapértelmezés szerint nem engedélyezett modult szeretnénk használni, úgy a megfelelő modult a <code>modules</code> könyvtár alatt engedélyezni kell. Az alábbi példában az LDAP alapú azonosítást mutatjuk be, amely külön modult nem igényel, alapértelmezés szerint része a telepített alkalmazásnak.

Javasolt az LDAP-ban egy olyan bejegyzést létrehozni az IdP számára, amely olvasni tudja a felhasználóknak a föderációban használt attribútumait. Az azonosítás alapértelmezett módon a felhasználó nevében történő újra bind-olással történik, így a jelszóhoz nem kell hozzáférést adni.

Ahhoz, hogy megadhassuk az LDAP-hoz tartozó beállításokat, a <code>config/authsources.php</code> fájlt kell szerkesztenünk. Az alábbi kódrészletet elegendő beszúrni, és az egyes változóknak a helyi LDAP-nak megfelelő adatokat értékül adni.

*

* This option is not used if the search.enable option is set to TRUE.

'dnpattern' => 'uid=%username%,ou=people,dc=example,dc=org',

*/

~~'dnpattern' => 'uid=%username%,ou=people,dc=example,dc=org',~~

/*

* search for the username in a set of attributes. This is enabled by this option.

*/

'search.enable' => ~~FALSE~~TRUE,

/*

* this is left as NULL, no bind will be performed before searching.

*/

'search.username' => ~~NULL~~'cn=simplesamlphp,dc=example,dc=org', 'search.password' => ~~NULL~~'servicepassword', 'priv.read' => TRUE, // The DN & password the SimpleSAMLphp should bind to before // retrieving attributes. These options are required if // 'priv.read' is set to TRUE. 'priv.username' => 'cn=simplesamlphp,dc=example,dc=org', 'priv.password' => 'servicepassword;,

),

</source>

===Metaadat alapok===

A beállítandó IdP alapvető paraméterei a <code>metadata/saml20-idp-hosted.php</code> fájlban állíthatók. Az alábbi kódrészlet egy minimális, de már működő példát mutat.

$metadata['__DYNAMIC:1__'] = array(

/*

* These are stored in the cert-directory.

*/

'privatekey' => '~~idp.~~saml-example.-org.key', 'certificate' => '~~idp.~~saml-example.-org.crt',

/*

'auth' => 'example-ldap',

);

Teszteléshez is érdemes, éles használathoz pedig elengedhetetlen, hogy a csomagban érkezett tanúsítványt felülírjuk, ezt célszerű mihamarabb megtenni. Ehhez az alábbi parancs lehet segítségünkre. ~~openssl req -new -newkey rsa:2048 -x509 -days 3652 -nodes -out idp.example.org.crt -keyout idp.example.org.key~~ ~~A fingerprint az alábbi módon kérdezhető le a legegyszerűbben~~ ~~openssl x509 -fingerprint -noout -in idp.example.org.crt~~</source>

Megfelelő beállítások után a dinamikusan generált metadata a <code>/saml2/idp/metadata.php</code> útvonalon érhető el.

Legegyszerűbben a telepített SSP felületén tudjuk ellenőrizni, hogy a beállított autentikációs forrás működik-e. A felületen az Authentication fül alatt található egy 'Test authentication sources' link, amelyre kattintva látható minden beállított autentikációs forrás is, így a két alapértelmezett, teszt célokat szolgáló alatt a most beállított example-ldap névre hallgatónak is meg kell jelenni. (A közvetlen url erre az oldalra: simplesaml/module.php/core/authenticate.php) Ez utóbbira kattintva a beállított LDAP-ból autentikálva be kell tudnunk jelentkeznünk; siker esetén az LDAP-ból kinyerhető attribútumokat láthatjuk.

==Service Provider (SP ) beállítás=====~~Alapadatok~~Alapbeállítások=== A telepített alkalmazásunk által kezelt SP-ket a ~~<code>~~'''config/authsources.php~~</code>~~ ''' fájlban tudjuk beállítani. Az ''entityID, idp, discoURL'' értékeket most hagyjuk ''NULL'' értéken és adjuk hozzá a '''privatekey''' / '''certificate''' részt. A SimpleSAMLphp a tanúsítvány fájlokat a korábban létrehozott '''cert''' mappában fogja keresni, a fájlokat elég relatív elérési úttal megadni.

'default-sp' => array(

'saml:SP',

'discoURL' => NULL,

'privatekey' => 'saml-example-org.~~pem~~key', 'certificate' => 'saml-example-org.crt',

),

</source>

A fenti beállítások alapján az SP entityID-ja megegyezik a metadata elérési útvonalával (szokásos megoldás SSP-nél), nem adunk meg alapértelmezett idp-t, ezáltal az SSP választási lehetőséget kínál fel számunkra, mikor az SP-re szeretnénk bejelentkezni, ill. most még Discovery Service URL-t sem adunk meg, hanem a beépítettet használjuk. Ez utóbbit majd a HREF-be történő integrációkor meg kell változtatni - lásd lejjebb.

~~Az IdP beállításához hasonlóan itt is szükség lesz egy tanúsítvány generálására a <code>cert</code> könyvtárba. Ehhez segítség lehet az alábbi parancs.~~

~~openssl req~~ Az SP készen áll arra, hogy összekössük egy IdP-~~new~~ vel (ez jellemzően szintén egy SimpleSAMLphp alkalmazás). Ehhez szükséges, hogy SP oldalon beállítsuk az IdP metadata-~~newkey rsa:2048~~ t és IdP oldalon is beállítsuk az SP metadata-~~x509~~ t. ====Metadata========Metadata fájlok====A különböző metadata template fájlok a '''metadata-~~days 3652 -nodes -out saml~~templates''' mappában találhatóak.~~crt -keyout saml~~A nekünk szükséges template fájlt másoljuk át a metadata mappába.~~pem~~

~~===Tesztelés===Amennyiben IdP is beállításra került, úgy a legcélszerűbb ezt összehangolni az~~ * '''SP''' oldalon lennie kell egy''' metadata/saml20-idp-~~vel~~remote.php''' fájlnak. ~~Ehhez egyfelől~~ Ez a ~~<code>~~fájl tartalmazza az IdP eléréséhez szükséges adatokat. cp metadata-templates/saml20-idp-remote.php<metadata * '''IdP''' oldalon lennie kell egy '''metadata/~~code> fájlban meg kell adni~~ saml20-sp-remote.php''' fájlnak. Ez a fájl tartalmazza az ~~IdP adatait, amely esetünkben az alábbiak szerint fest~~SP eléréséhez szükséges adatokat. cp metadata-templates/saml20-sp-remote.php metadata ====Metadata letöltés====

$Ezen az oldalon megtaláljuk az SP vagy IdP-re vonatkozó '''metadata['~~https://example.org/simplesaml/saml2/idp/metadata.php~~'~~] = array(~~ '~~name~~-t, ' ~~=> array(~~ 'en' => XML'~~TestSP~~' ), '~~SingleSignOnService~~és ' => '~~https://example.org/simplesaml/saml2/idp/SSOService.php~~', PHP'~~SingleLogoutService~~' => 'formátumban: https://example.org/simplesaml/~~saml2~~module.php/~~idp~~saml/~~SingleLogoutService~~sp/metadata.php', ~~'certFingerprint'~~ /default-sp?output=~~> 'afe71c28ef740bc87425be13a2263d37971da1f9'~~ );xhtml

~~Ehhez hasonlóan a <code>~~====SP metadata~~/saml20-sp-remote.php</code> fájlban meg kell adnunk az SP adatait. Teszteléshez az alábbiak elegendők:~~beállítás IdP oldalon====

$A metadata['~~https://example.org/~~''simplesaml~~/module.php/saml/sp/metadata.php/default-sp~~'~~] = array (~~ '~~AssertionConsumerService~~' ~~=> 'https~~kezdőlapon, az alábbi helyen érhető el:* Magyar nyelv esetén:"Föderáció" fül /~~/example~~"SAML 2.~~org/simplesaml/module~~0 SP Metaadatok" pont alatt a "Mutasd a metaadatokat" linkre kattintva juthatunk el a fenti menüponthoz.~~php/saml/sp/saml2-acs.php/default-sp',~~ ~~'SingleLogoutService' => 'https~~* Angol nyelv esetén:"Federation" fül /~~/example~~"SAML 2.~~org/simplesaml/module~~0 SP Metadata" pont alatt a "Show metadata" linkre kattintva juthatunk el a fenti menüponthoz.~~php/saml/sp/saml2-logout.php/default-sp',~~ );

Ezek után az IdP tesztelésénél már említett oldalon a default-sp opciót kiválasztva, majd a legördülő menüben a TestSP-re kattintva be kell tudnunk jelentkezni az IdP-n keresztül. Ha működik, akkor az alapvető lépsekkel kész vagyunk, van egy működő SP-nk és egy működő IdP-nk.

~~==HREF~~A "''SimpleSAMLphp fájl formátumban -~~integráció==~~akkor használható, ha a másik oldalon SimpleSAMLphp van''" mezőből tegyük a vágólapra az alábbi PHP kódot:

<source lang="php">$metadata['https://example.org/simplesaml/module.php/saml/sp/metadata.php/default-sp'] =array ( 'SingleLogoutService' =~~Metadata beállítása~~ > array ( 0 => array (~~IdP és SP is~~ 'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect', 'Location' => 'https://example.org/simplesaml/module.php/saml/sp/saml2-logout.php/default-sp', ), ), 'AssertionConsumerService' => array ( 0 => array ( 'index' => 0, 'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST',~~Az SSP~~ 'Location' => 'https://example.org/simplesaml/module.php/saml/sp/saml2-~~nél be kell állítani metaadat forrásként a központi metaadatot~~acs.php/default-sp', ), 1 => array ( 'index' => 1, 'Binding' => 'urn:oasis:names:tc:SAML:1. ~~Erre két lehetőségünk van~~0:profiles:browser-post',* 'Location'=> '~~[[MDX]]~~https://example.org/simplesaml/module.php/saml/sp/saml1-acs.php/default-sp', ), 2 => array ( 'index' => 2, 'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact', 'Location' => 'https://example.org/simplesaml/module.php/saml/sp/saml2-acs.php/default-sp', ), 3 => array ( 'index' => 3, 'Binding'=> 'urn:oasis:names:tc:SAML:1.0:profiles:artifact-01' ~~használata~~,* statikus metadata XML 'Location' => 'https://example.org/simplesaml/module.php/saml/sp/saml1-acs.php/default-~~ek használata~~sp/artifact', ), ), 'contacts' => array ( 0 => array ( 'emailAddress' => 'admin@example.org', 'contactType' => 'technical', 'givenName' => 'Example Corp. IT Dept.', ), ), 'certData' => 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==',);</source>

~~Ez a dokumentáció a statikus metaadatforrások beállítását írja le, az [[MDX]] SimpleSAMLphp-nál való használatához lásd a hivatkozott oldalt.~~ A ~~kétféle metaadatforrás akár egyidejűleg is használható~~vágólapra másolt kódot IdP oldalon, ~~de ez haladó beállítás, leginkább akkor lehet rá szükség, ha az MDX adatforrásban nem szereplő entitásokkal (például nem~~ a ~~föderációban regisztrált SP~~'''metadata/saml20-~~k és IdP~~sp-~~k) szeretnénk dolgozni~~remote.php''' fájl végére illesszük be.

~~:*Első lépésként engedélyezzük, hogy az SSP automatikusan frissíthesse a metaadatot, ill. az ezt elvégző két modult~~ ~~touch modules/metarefresh/enable~~ ~~cp modules/metarefresh/config-templates/*.php config/~~ ~~touch modules/cron/enable~~ ~~cp modules/cron/config-templates/*.php config/~~====IdP metadata beállítás SP oldalon====

~~:*Létrehozunk egy könyvtárat~~A metadata '''simplesaml''' kezdőlapon, ~~ahová letöltésre kerül~~ az ~~központi metaadat XML fájlja~~alábbi helyen érhető el: ~~mkdir metadata~~* Magyar nyelv esetén: "Föderáció" fül /~~metarefresh-href~~"SAML 2.0 IdP Metaadatok" pont alatt a "Mutasd a metaadatokat" linkre kattintva juthatunk el a fenti menüponthoz. ~~chmod g+rw~~ * Angol nyelv esetén: "Federation" fül / "SAML 2.0 IdP Metadata" pont alatt a "Show metadata~~/metarefresh-href~~" linkre kattintva juthatunk el a fenti menüponthoz.

{{ATTENTION|Ahhoz, hogy az automatikus metadata frissítés gond nélkül működjön, legalább '''1.13.2'''-es verziójú simpleSAMLphp kell, vagy korábbi változatokon frissíteni kell a <code>/path/to/simplesamlphp/lib/xmlseclibs.php</code> fájlt [http://goo.gl/ilRHkV erre a fájlra]! Bővebb információ ehhez kapcsolódóan [http://simplesamlphp.org/metaprocessing erre.]

~~Ha az eduGAIN metaadatait is feldolgozzuk,~~ A "''SimpleSAMLphp fájl formátumban - akkor ~~fontos~~használható, ~~hogy néhány paramétert emeljük legalább~~ ha a másik oldalon SimpleSAMLphp van''" mezőből tegyük a vágólapra az alábbi ~~értékekre:~~* maximum memória foglalás (<code>memory_limit</code>): '''512MB'''* maximum végrehajtási idő (<code>max_execution_time</code>)PHP kódot: ~~'''120 sec'''}}~~

~~:*Ezek után be kell állítani a metaadat kokrét adatait a~~ <~~code~~source lang="php">~~config~~$metadata['https://idp.example.org/simplesaml/saml2/idp/~~config-metarefresh~~metadata.php~~</code> fájlban~~ ~~$config~~ '] = array( '~~sets~~metadata-set' => ~~array(~~ 'husaml20-idp-remote' ~~=> array(~~, '~~cron~~entityid' => ~~array(~~'~~hourly~~https://idp.example.org/simplesaml/saml2/idp/metadata.php'), '~~sources~~SingleSignOnService' => array( 0 => array( '~~src~~Binding' => '~~http~~urn:oasis:~~//metadata~~names:tc:SAML:2.~~eduid.hu/2011/href.xml~~0:bindings:HTTP-Redirect', '~~validateFingerprint~~Location' => 'FEhttps:~~AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66~~//idp.example.org/simplesaml/saml2/idp/SSOService.php', ), ), '~~expireAfter~~SingleLogoutService' => ~~60*60*24*4, // Maximum 4 days cache time.~~ array ( 0 => array ( '~~outputDir~~Binding' => '~~metadata/metarefresh~~urn:oasis:names:tc:SAML:2.0:bindings:HTTP-~~href/~~Redirect', '~~outputFormat~~Location' => '~~flatfile~~https://idp.example.org/simplesaml/saml2/idp/SingleLogoutService.php', ),

),

);,~~:*Be kell állítani~~ 'certData' => 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==', ~~hogy az SSP az automata által generált fájlokból dolgozzon. Ehhez a <code~~ 'NameIDFormat' =>~~config/config~~'urn:oasis:names:tc:SAML:2.~~php~~0:nameid-format:transient',);</~~code~~source> ~~fájlban keressük ki~~ A vágólapra másolt kódot SP oldalon, a ~~<code>~~'''metadata/saml20-idp-remote.~~source</code> szakaszt, és az alábbiak szerint szerkesszük át~~php''' fájl végére illesszük be. ~~Amennyiben nem csak~~ ===Tesztelés=== A fent elvégzett alapbeállítások után már tudjuk tesztelni a ~~központi metaadatból szeretnénk dolgozni~~, ~~úgy további sorokat is megadhatunk itt bemutatott mintájára~~hogy a felépített IdP - SP kapcsolat működik-e. SP oldalon nyissuk meg a '~~metadata.sources~~' ~~=> array(~~ ~~array(~~'~~type~~simplesaml' => '~~flatfile~~'kezdőlapot: * Magyar nyelv esetén: "Azonosítás (autentikáció), " fül /"Azonosítási (autentikációs) beállítások tesztelése" link / "default-sp" link-re kattintva tudjuk tesztelni az IdP - SP kapcsolatot.* Angol nyelv esetén ~~kell, itt van~~ : "Authentication" fül / "Test configured authentication sources" link / "default-sp" link-re kattintva tudjuk tesztelni az ~~önmagát leíró metadata~~IdP - SP kapcsolatot. ~~array~~A legördülő menüben az IdP-nk "nevére" kattintva, be kell tudnunk jelentkezni (~~'type' => 'flatfile'~~az IdP-n keresztül). Ha működik, ~~'directory' => 'metadata/metarefresh~~akkor az IdP visszairányít az SP-~~href')~~re,kiírja az azonosított felhasználó attribútumait. )Az alapvető lépsekkel kész vagyunk,van egy működő SP-nk és egy működő IdP-nk. ==HREF-integráció==

~~:*Végül le kell futtatni kézzel a cronjobot, amelyet az SSP webes felületén tudunk megtenni a Configuration fül alatt, a Cron module information page menüpontban. Ekkor létrejönnek a fájlok~~ ===Metadata beállítása (~~majd óránként frissülnek~~ IdP és SP is)===Javasolt [[MDX | dinamikus metaadatforrást (MDX)]] használni, ~~ha beállítjuk cronjobként)~~opcionálisan kiegészítve statikus állományokkal.Részletes leírás itt: [[SimpleSAMLMixedMetadata]]

{{INFO|Ha a nemzetközi [https://edugain.org eduGAIN konföderációhoz] is szeretnéd csatlakoztatni az IdP-t vagy SP-t, mindenképpen nézd át a '''[[JoiningEduGAIN | csatlakozás menetéről szóló oldalt]]'''!}}

===IdP===

Amennyiben van SSP alapú IdP-nk, melyet szeretnénk a föderáció részévé tenni, úgy a teendők a következők.

A <code>metadata/saml20-idp-hosted.php</code> fájlba szerkesszük be az alábbi kódrészlet értelemszerűen módosított változatát. Az <code>'auth' => 'example-ldap',</code> sor alatt kezdjük. Fontos, hogy egyúttal a config.php <code>authproc.idp</code> részét kikommentezzük, nehogy az ottani sorszámokkal megadott default feladatok bekavarjanak.

'AttributeNameFormat' => 'urn:oasis:names:tc:SAML:2.0:attrname-format:uri',

'userid.attribute' => 'uid', // Itt adjuk meg, hogy mely, az LDAPból származó attribútum alapján fogja az IdP kiszámítani az eduPersonTargetedID-t

'class' => 'core:AttributeAdd',

'eduPersonScopedAffiliation' => array('member@intezmenydomain.hu')

// Az eduPersonScopedAffiliation-ben tesztelés céljából kiadhatjuk member értéket, // így ha LDAP-ból nem jön érték, akkor is láthatjuk, hogy működik az attribútum kiadás

),

61 => array(

),

'sign.logout' => true

</source>

: További tudnivalók a [[Resource_Registry|Resource Registry-ről]], ill. a [[HREFAttributeSpec|Föderációs attribútum specifikációról]].

: Az <code>attributescope</code> modul használata esetén a következőképp kell módosítani a <code>config/config.php</code> fájlt:

authproc.sp = array(

...

),

</source>

Figyeljünk arra, hogy mire a modulhoz ér a vezérlés, az attribútumok nevei ''friendlyName'' alakúak legyenek (ne pedig ''oid''-ok). A példában erre utal a 49-es sor.

[[Category: AAI]] [[Category: simpleSAMLphp]] [[Category: HOWTO]]

Northway(AT)niif.hu

bürokraták, adminisztrátorok

107

szerkesztés

Módosítások

SimpleSAMLphp

Navigációs menü

Személyes eszközök

Névterek

Változatok

Nézetek

Több

Keresés

Navigáció

Eszközök