565
szerkesztés
Módosítások
Új oldal, tartalma: „= OpenSSO IdP - Shibboleth2 SP Interoperabilitás = * IdP: Kép:Maszat-opensso-idp.xml * SP: Kép:Papigw-shibboleth2-sp.xml == SAML2.0 Single Sign on == * SP olda...”
= OpenSSO IdP - Shibboleth2 SP Interoperabilitás =
* IdP: [[Kép:Maszat-opensso-idp.xml]]
* SP: [[Kép:Papigw-shibboleth2-sp.xml]]
== SAML2.0 Single Sign on ==
* SP oldali SAML2 bindingot támogató AttributeConsumerService-ek:
** 1: /SAML2/POST urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
** 2: /SAML2/POST-SimpleSign urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign
** 3: /SAML2/Artifact urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact
** 4: /SAML2/ECP urn:oasis:names:tc:SAML:2.0:bindings:PAOS
=== HTTP-Post ===
* Működik
* https://papigw.aai.niif.hu/saml2interop/opensso-post/
* SP oldalon
<SessionInitiator type="Chaining" Location="/Login" id="maszat-opensso-post"
relayState="cookie" entityID="https://idp.sch.bme.hu/niif-teszt">
<SessionInitiator type="SAML2" defaultACSIndex="1" template="bindingTemplate.html"/>
</SessionInitiator>
=== HTTP-Artifact ===
* Az OpenSSO nem figyel arra hogy az SP milyen AttributeConsumerService-t kér, így az IDP oldalon kell konfigurálni az SP tulajdonságait úgy, hogy az alapbeállítás ne a POST legyen.
* TODO - Trust management a back-channel kommunikációnál a tanusítványt ismernie kell az SP-nek.
=== Attribute push ===
* Gyári buildekkel nem működik, ugyanis az OpenSSO urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified formátumban küldi az attribútumokat, amiket a Shibboleth2 SP nem fogad el.
* Saját patch használata esetén bekonfigurálható az uri típusú NameFormat is, azzal működik probléma nélkül.
** https://opensso.dev.java.net/issues/show_bug.cgi?id=2775
=== Attribute pull ===
TODO - Test Attribute pull
=== NameIDFormat ===
* A Shibboleth2 SP által generált metaadatba kézzel be kell illeszteni a NameIDFormat node-ot
* Az OpenSSO támogatja a perzisztens és a tranziens SAML2 azonosítót is.
== SAML2.0 Single Log out ==
* A shibboleth2 nem támogatja (még) a Single Log-out protokollt, lásd: https://spaces.internet2.edu/display/SHIB2/SLOIssues
== Metaadat problémák ==
* A Shibboleth2 SP metaadatból el kell távolítani az <md:Extensions> node-ot az összes gyerekelemével együtt.
** Erre nagyon figyelni kell, mert összeomlik tőle az OpenSSO, és csak címtár-módosítással ('hibás' metaadat törlése) állítható helyre.
** Sajnos nem triviális javítani ezt a viselkedést...
* A metaadatba ágyazott certificate esetén csak a <ds:X509Certificate> node szerepelhet, semmi más
** Ehhez írtam patch-et ami ezt javítja.
** https://opensso.dev.java.net/issues/show_bug.cgi?id=2985
* IdP: [[Kép:Maszat-opensso-idp.xml]]
* SP: [[Kép:Papigw-shibboleth2-sp.xml]]
== SAML2.0 Single Sign on ==
* SP oldali SAML2 bindingot támogató AttributeConsumerService-ek:
** 1: /SAML2/POST urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
** 2: /SAML2/POST-SimpleSign urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign
** 3: /SAML2/Artifact urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact
** 4: /SAML2/ECP urn:oasis:names:tc:SAML:2.0:bindings:PAOS
=== HTTP-Post ===
* Működik
* https://papigw.aai.niif.hu/saml2interop/opensso-post/
* SP oldalon
<SessionInitiator type="Chaining" Location="/Login" id="maszat-opensso-post"
relayState="cookie" entityID="https://idp.sch.bme.hu/niif-teszt">
<SessionInitiator type="SAML2" defaultACSIndex="1" template="bindingTemplate.html"/>
</SessionInitiator>
=== HTTP-Artifact ===
* Az OpenSSO nem figyel arra hogy az SP milyen AttributeConsumerService-t kér, így az IDP oldalon kell konfigurálni az SP tulajdonságait úgy, hogy az alapbeállítás ne a POST legyen.
* TODO - Trust management a back-channel kommunikációnál a tanusítványt ismernie kell az SP-nek.
=== Attribute push ===
* Gyári buildekkel nem működik, ugyanis az OpenSSO urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified formátumban küldi az attribútumokat, amiket a Shibboleth2 SP nem fogad el.
* Saját patch használata esetén bekonfigurálható az uri típusú NameFormat is, azzal működik probléma nélkül.
** https://opensso.dev.java.net/issues/show_bug.cgi?id=2775
=== Attribute pull ===
TODO - Test Attribute pull
=== NameIDFormat ===
* A Shibboleth2 SP által generált metaadatba kézzel be kell illeszteni a NameIDFormat node-ot
* Az OpenSSO támogatja a perzisztens és a tranziens SAML2 azonosítót is.
== SAML2.0 Single Log out ==
* A shibboleth2 nem támogatja (még) a Single Log-out protokollt, lásd: https://spaces.internet2.edu/display/SHIB2/SLOIssues
== Metaadat problémák ==
* A Shibboleth2 SP metaadatból el kell távolítani az <md:Extensions> node-ot az összes gyerekelemével együtt.
** Erre nagyon figyelni kell, mert összeomlik tőle az OpenSSO, és csak címtár-módosítással ('hibás' metaadat törlése) állítható helyre.
** Sajnos nem triviális javítani ezt a viselkedést...
* A metaadatba ágyazott certificate esetén csak a <ds:X509Certificate> node szerepelhet, semmi más
** Ehhez írtam patch-et ami ezt javítja.
** https://opensso.dev.java.net/issues/show_bug.cgi?id=2985
