29
szerkesztés
Módosítások
Új oldal, tartalma: „= Vidyo Portal Authentication Proxy = A vidyo portál utolsó fejlesztései lehetővé tették a SAML alapú authentikációt, és authorizációt. Az implementáci…”
= Vidyo Portal Authentication Proxy =
A vidyo portál utolsó fejlesztései lehetővé tették a SAML alapú authentikációt, és authorizációt.
Az implementáció nem teljesen fedi le a SAML feature-öket, az SP implementáció csak egy IdP-vel képes kapcsolatot létesíteni.
A portált a simpleSAMLphp proxy-ként való telepítésével tehetjük egy föderáció tagjává.
== simpleSAMLphp telepítése ==
A simplesamlphp telepítését elvégezzük a [dokumentáció](https://simplesamlphp.org/docs/stable/simplesamlphp-install) szerint.
== SSP IdP oldalának konfigurálása, illesztés a Vidyo portál felé ==
Legelőször is engedélyezni kell az IdP funkciót
config/config.php
```
'enable.saml20-idp' => true,
```
Gyártsuk le az IdP certifikate-jét, és rakjuk a _cert_ könyvtárba _idp.pem_, _idp.crt_ néven.
```
cd cert openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out idp.crt -keyout idp.pem
```
Hogy a vidyo portál oldalon az attribútum megfeleltetéseknél ne okozzanak gondot az oid formátumú attribútum nevek, mielőtt kiadjuk őket, az _AttributeMap_ szűrő segítségével alakítsuk át az attribútum neveket. Mindezt vezessük be a hosztolt IdP konfigurációs részébe:
metadata/saml20-idp-hosted.php
```
'auth' => 'default-sp',
'privatekey' => 'idp.pem',
'certificate' => 'idp.crt',
'authproc' => array(
200 => array('class' => 'core:AttributeMap', 'oid2name'),
),
```
A vidyo portál admin felületéről le kell tölteni a portál metaadatát, és el kell menteni a metadata könyvtárba.
``` metadata/vidyo-sp.xml ```
Erre hivatkozni kell a _config/config.php_-ben is:
```
'metadata.sources' => array(
...
array('type' => 'xml', 'file' => 'metadata/vidyo-sp.xml'), // vidyo sp
... ),
```
=== Vidyo admin portál ===
A portálon be kell állítani,
* hogy az azonosítás SAML alapú legyen, _Authentication Type_
* fel kell tölteni az IdP metaadatát, ezt az ssp telepítés _saml2/idp/metadata.php_ oldaláról tölthetjük le. _Identity Provider (IdP) Metadata XML_
* be kell állítani az auto provisioninget, _SAML provision type_
Az előző fejezetben említett portál metaadatát ezen az oldalon érjük el. _View Service Provider (SP) metadata XML_
Össze kell illeszteni a SAML rétegből jövő attribútumokat a Vidyo portál által használt adatmodellel. _Edit IdP Attribute Mapping..._
A _SAML IdP Attribute Name_ oszlopokba az SSP-től kapott attribútum neveket kell írni. Ha a proxy IdP oldalán a példa szerint állítottuk be az _AttributeMap_ szűrőt, akkor itt az attribútumok friendly nevét kell beírnunk. Tipp: [https://github.com/simplesamlphp/simplesamlphp/blob/master/attributemap/name2oid.php](https://github.com/simplesamlphp/simplesamlphp/blob/master/attributemap/name2oid.php)
Bizonyos attribútumoknál lehetőség van érték mapping-re is, tipikusan csoport, vagy típus jellegű attribútumoknál, ahol a kapott attirbútumok értéke alapján
történik a megfeleltetés.
== SSP SP oldalának konfigurálása, illesztés a föderációba ==
A proxy egyik oldala a föderáció felé, mint SP viselkedik. Az authsource-ot 'default-sp'-nek nevezzük el, erre kell hivatkozni a későbbiekben az IdP konfigurációban.
=== metadata ===
Az SP-t regisztráljuk be a kívánt föderációba a föderáció által megadott szabályok alapján.
=== metarefresh ===
Hogy a metadadatok mindig napra készek legyenek, gondoskodjunk a metarefresh és cron modul beállításáról.
A konfigurációs file-okat a config könyvtárba kell elhelyezni a sablonokat a modulok config-templates alkönyvtáraiban találjuk meg.
A modulok bekapcsolásáról a rendszer konfigurációban rendelkezhetünk a legegyszerűbben.
config/config.php
....
'module.enable' => array( 'cron' => TRUE, 'metarefresh' => TRUE, ),
....
A vidyo portál utolsó fejlesztései lehetővé tették a SAML alapú authentikációt, és authorizációt.
Az implementáció nem teljesen fedi le a SAML feature-öket, az SP implementáció csak egy IdP-vel képes kapcsolatot létesíteni.
A portált a simpleSAMLphp proxy-ként való telepítésével tehetjük egy föderáció tagjává.
== simpleSAMLphp telepítése ==
A simplesamlphp telepítését elvégezzük a [dokumentáció](https://simplesamlphp.org/docs/stable/simplesamlphp-install) szerint.
== SSP IdP oldalának konfigurálása, illesztés a Vidyo portál felé ==
Legelőször is engedélyezni kell az IdP funkciót
config/config.php
```
'enable.saml20-idp' => true,
```
Gyártsuk le az IdP certifikate-jét, és rakjuk a _cert_ könyvtárba _idp.pem_, _idp.crt_ néven.
```
cd cert openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out idp.crt -keyout idp.pem
```
Hogy a vidyo portál oldalon az attribútum megfeleltetéseknél ne okozzanak gondot az oid formátumú attribútum nevek, mielőtt kiadjuk őket, az _AttributeMap_ szűrő segítségével alakítsuk át az attribútum neveket. Mindezt vezessük be a hosztolt IdP konfigurációs részébe:
metadata/saml20-idp-hosted.php
```
'auth' => 'default-sp',
'privatekey' => 'idp.pem',
'certificate' => 'idp.crt',
'authproc' => array(
200 => array('class' => 'core:AttributeMap', 'oid2name'),
),
```
A vidyo portál admin felületéről le kell tölteni a portál metaadatát, és el kell menteni a metadata könyvtárba.
``` metadata/vidyo-sp.xml ```
Erre hivatkozni kell a _config/config.php_-ben is:
```
'metadata.sources' => array(
...
array('type' => 'xml', 'file' => 'metadata/vidyo-sp.xml'), // vidyo sp
... ),
```
=== Vidyo admin portál ===
A portálon be kell állítani,
* hogy az azonosítás SAML alapú legyen, _Authentication Type_
* fel kell tölteni az IdP metaadatát, ezt az ssp telepítés _saml2/idp/metadata.php_ oldaláról tölthetjük le. _Identity Provider (IdP) Metadata XML_
* be kell állítani az auto provisioninget, _SAML provision type_
Az előző fejezetben említett portál metaadatát ezen az oldalon érjük el. _View Service Provider (SP) metadata XML_
Össze kell illeszteni a SAML rétegből jövő attribútumokat a Vidyo portál által használt adatmodellel. _Edit IdP Attribute Mapping..._
A _SAML IdP Attribute Name_ oszlopokba az SSP-től kapott attribútum neveket kell írni. Ha a proxy IdP oldalán a példa szerint állítottuk be az _AttributeMap_ szűrőt, akkor itt az attribútumok friendly nevét kell beírnunk. Tipp: [https://github.com/simplesamlphp/simplesamlphp/blob/master/attributemap/name2oid.php](https://github.com/simplesamlphp/simplesamlphp/blob/master/attributemap/name2oid.php)
Bizonyos attribútumoknál lehetőség van érték mapping-re is, tipikusan csoport, vagy típus jellegű attribútumoknál, ahol a kapott attirbútumok értéke alapján
történik a megfeleltetés.
== SSP SP oldalának konfigurálása, illesztés a föderációba ==
A proxy egyik oldala a föderáció felé, mint SP viselkedik. Az authsource-ot 'default-sp'-nek nevezzük el, erre kell hivatkozni a későbbiekben az IdP konfigurációban.
=== metadata ===
Az SP-t regisztráljuk be a kívánt föderációba a föderáció által megadott szabályok alapján.
=== metarefresh ===
Hogy a metadadatok mindig napra készek legyenek, gondoskodjunk a metarefresh és cron modul beállításáról.
A konfigurációs file-okat a config könyvtárba kell elhelyezni a sablonokat a modulok config-templates alkönyvtáraiban találjuk meg.
A modulok bekapcsolásáról a rendszer konfigurációban rendelkezhetünk a legegyszerűbben.
config/config.php
....
'module.enable' => array( 'cron' => TRUE, 'metarefresh' => TRUE, ),
....
