1 260
szerkesztés
Módosítások
autosave
Since version 3.0, Vidyo has enabled support for SAML in VidyoPortal. They do not rely on existing SAML middleware (such as Shibboleth or SimpleSAMLphp) but they manage SAML directly.
At the time of writing, SAML is supported for a single tenant, ie. one single Identity Provider can be configured in VidyoPortal. This means that in order to make Vidyo as a federated service, a SAML gateway should be configured to provide access for institutional users. In this guide, SimpleSAMLphp will be used as a gateway.
== Install SimpleSAMLphp ==
The installation of SimpleSAMLphp software is covered in its [https://simplesamlphp.org/docs/stable/simplesamlphp-install documentation].
You will need to configure SSP both as an IdP (in the direction of VidyoPortal) and an SP (for the federation).
== Configure SSP IdP for VidyoPortal ==
Enable SAML2 IdP functionality in <code>config/config.php</code>:
'enable.saml20-idp' => true,
Generate a key and a long-living self-signed certificate for the IdP and place it in the <code>cert</code> directory as <code>idp.key</code> and <code>idp.crt</code>
cd cert
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out idp.crt -keyout idp.pem
It is easier to configure VidyoPortal by using friendly attribute names instead of OIDs, therefore use the <code>oid2name</code> ''AttributeMap'' for the transformation of attribute names. Edit ''metadata/saml20-idp-hosted.php'' as the following:
'auth' => 'default-sp',
'privatekey' => 'idp.key',
'certificate' => 'idp.crt',
'authproc' => array(
200 => array('class' => 'core:AttributeMap', 'oid2name'),
),
Retrieve VidyoPortal metadata from the portal administration interface and save it as ''metadata/vidyo-sp.xml''. It needs to be referenced from ''config/config.php'':
'metadata.sources' => array(
...
array('type' => 'xml', 'file' => 'metadata/vidyo-sp.xml'), // vidyo sp
... ),
=== Configure VidyoPortal to use SAML ===
In the portal the following should be set:
* Authentication Type: '''SAML'''
* IdP Metadata XML: you can retrieve it from https://path.to.simplesaml.tld/saml2/idp/metadata.php
* SAML Provision type: '''SAML''' (automatic provisioning)
Össze kell illeszteni a SAML rétegből jövő attribútumokat a Vidyo portál által használt adatmodellel. ''Edit IdP Attribute Mapping...''
[[Fájl:VidyoAdmin1.png]]
A _SAML IdP Attribute Name_ oszlopokba az SSP-től kapott attribútum neveket kell írni. Ha a proxy IdP oldalán a példa szerint állítottuk be az ''AttributeMap'' szűrőt, akkor itt az attribútumok friendly nevét kell beírnunk. Tipp: https://github.com/simplesamlphp/simplesamlphp/blob/master/attributemap/name2oid.php
[[Fájl:VidyoAdmin2.png]]
Bizonyos attribútumoknál lehetőség van érték mapping-re is, tipikusan csoport, vagy típus jellegű attribútumoknál, ahol a kapott attirbútumok értéke alapján
történik a megfeleltetés.
[[Fájl:VidyoAdmin3.png]]
== SSP SP oldalának konfigurálása, illesztés a föderációba ==
A proxy egyik oldala a föderáció felé, mint SP viselkedik. Az authsource-ot 'default-sp'-nek nevezzük el, erre kell hivatkozni a későbbiekben az IdP konfigurációban.
=== metadata ===
Az SP-t regisztráljuk be a kívánt föderációba a föderáció által megadott szabályok alapján.
=== metarefresh ===
Hogy a metadadatok mindig napra készek legyenek, gondoskodjunk a metarefresh és cron modul beállításáról.
A konfigurációs file-okat a config könyvtárba kell elhelyezni a sablonokat a modulok config-templates alkönyvtáraiban találjuk meg.
A modulok bekapcsolásáról a rendszer konfigurációban rendelkezhetünk a legegyszerűbben.
''config/config.php''
'module.enable' => array(
'cron' => TRUE,
'metarefresh' => TRUE,
),
At the time of writing, SAML is supported for a single tenant, ie. one single Identity Provider can be configured in VidyoPortal. This means that in order to make Vidyo as a federated service, a SAML gateway should be configured to provide access for institutional users. In this guide, SimpleSAMLphp will be used as a gateway.
== Install SimpleSAMLphp ==
The installation of SimpleSAMLphp software is covered in its [https://simplesamlphp.org/docs/stable/simplesamlphp-install documentation].
You will need to configure SSP both as an IdP (in the direction of VidyoPortal) and an SP (for the federation).
== Configure SSP IdP for VidyoPortal ==
Enable SAML2 IdP functionality in <code>config/config.php</code>:
'enable.saml20-idp' => true,
Generate a key and a long-living self-signed certificate for the IdP and place it in the <code>cert</code> directory as <code>idp.key</code> and <code>idp.crt</code>
cd cert
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out idp.crt -keyout idp.pem
It is easier to configure VidyoPortal by using friendly attribute names instead of OIDs, therefore use the <code>oid2name</code> ''AttributeMap'' for the transformation of attribute names. Edit ''metadata/saml20-idp-hosted.php'' as the following:
'auth' => 'default-sp',
'privatekey' => 'idp.key',
'certificate' => 'idp.crt',
'authproc' => array(
200 => array('class' => 'core:AttributeMap', 'oid2name'),
),
Retrieve VidyoPortal metadata from the portal administration interface and save it as ''metadata/vidyo-sp.xml''. It needs to be referenced from ''config/config.php'':
'metadata.sources' => array(
...
array('type' => 'xml', 'file' => 'metadata/vidyo-sp.xml'), // vidyo sp
... ),
=== Configure VidyoPortal to use SAML ===
In the portal the following should be set:
* Authentication Type: '''SAML'''
* IdP Metadata XML: you can retrieve it from https://path.to.simplesaml.tld/saml2/idp/metadata.php
* SAML Provision type: '''SAML''' (automatic provisioning)
Össze kell illeszteni a SAML rétegből jövő attribútumokat a Vidyo portál által használt adatmodellel. ''Edit IdP Attribute Mapping...''
[[Fájl:VidyoAdmin1.png]]
A _SAML IdP Attribute Name_ oszlopokba az SSP-től kapott attribútum neveket kell írni. Ha a proxy IdP oldalán a példa szerint állítottuk be az ''AttributeMap'' szűrőt, akkor itt az attribútumok friendly nevét kell beírnunk. Tipp: https://github.com/simplesamlphp/simplesamlphp/blob/master/attributemap/name2oid.php
[[Fájl:VidyoAdmin2.png]]
Bizonyos attribútumoknál lehetőség van érték mapping-re is, tipikusan csoport, vagy típus jellegű attribútumoknál, ahol a kapott attirbútumok értéke alapján
történik a megfeleltetés.
[[Fájl:VidyoAdmin3.png]]
== SSP SP oldalának konfigurálása, illesztés a föderációba ==
A proxy egyik oldala a föderáció felé, mint SP viselkedik. Az authsource-ot 'default-sp'-nek nevezzük el, erre kell hivatkozni a későbbiekben az IdP konfigurációban.
=== metadata ===
Az SP-t regisztráljuk be a kívánt föderációba a föderáció által megadott szabályok alapján.
=== metarefresh ===
Hogy a metadadatok mindig napra készek legyenek, gondoskodjunk a metarefresh és cron modul beállításáról.
A konfigurációs file-okat a config könyvtárba kell elhelyezni a sablonokat a modulok config-templates alkönyvtáraiban találjuk meg.
A modulok bekapcsolásáról a rendszer konfigurációban rendelkezhetünk a legegyszerűbben.
''config/config.php''
'module.enable' => array(
'cron' => TRUE,
'metarefresh' => TRUE,
),
