Standardkonfiguration Shibboleth - vad är med?

Relevanta dokument
Entitetskategorier. Att göra attributrelease enklare och samtidigt mer integritetsskyddande.

Att gruppera tjänsteleverantörer. Hur gör SWAMID det enklare för identitetsutgivarna att leverera rätt attribut till tjänsteleverantörerna

Shibboleth IDP och ADFS + Sharepoint integration

Detta är en kort genomgång av vad Shibboleth är och hur du kopplar in ditt system.

BILAGA 3 Federationsgemensamma attribut

Shibboleth SP-installation. Linux Redhat, CentOS, SUSE med Apache httpd Windows Server med IIS7

BEGREPPSFÖRVIRRING? Sophia Hansson Ridman, Tor Fridell

SWAMID Webinar Vad skiljer SWAMID AL1 och SWAMID AL2?

Workshop med focus på AL-processer

BESKRIVNING AV SVENSKA HANDELSHÖGSKOLANS (HANKENS) ANVÄNDARADMINISTRATION

Swami. Valter Nordh, Göteborgs Universitet 50% SWAMID/Swami 50% edugain X% GU

ADFS som IdP i SWAMID

TrustedDialog 3.3 konfiguration

Multifaktorinloggning via SWAMID

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Personlig integritet, PUL och federationer

behörighetsinformation på NyAwebben

Anteckningar referensgruppens möte

Attributprofil för skolfederationen

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Introduktion till SWAMID

Identity and Access Management på LU

Överblick IAM. Stefan Thoft. Projektledare IAM

Användarbeskrivning för Metadatatjänsten

Erik Wahlström Product Strategist 28/01/15

Multifaktorinloggning via SWAMID

Underlag till möte om Sambis testbädd och pilotverksamhet

BILAGA 2 Tekniska krav Version 0.81

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Tekniskt ramverk för Svensk e- legitimation

eduid Hans Nordlöf

Attributprofil för Skolfederation

TrustedDialog 3.3 installation

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Tekniskt ramverk för Svensk e-legitimation

Where Are You From? -Shibboleth och WAYF på KIB

E-legitimationsnämndens legitimeringstjänster för test

UTBILDNINGSINFORMATION API OCH

Fallstudie runt införande av SWAMIDs multifaktorinloggning vid ett lärosäte

Freja eid. Anders Henrikson

Smarta sätt att modernisera din webbplats för SiteVision Cloud!

Nätverksoperativsystem i Datornätverk (Windows Server) DVA202, VT Tentamen

Soltak AB. Standardschema. Visma Window

E-legitimationsdagen dag 2. Så här kopplar ni upp era e-tjänster mot den svenska eidas-noden

LDAP i KK2.1. Innehåll. Sammanställt av Roland Hedberg Version: 1.0 Datum:

Informationsplattform

torsdag 17 oktober 13 IT's a promise

SWAMID. Nyttjandestatistik av SWAMID. Vad är SWAMID? Så, hur mycket används SWAMID idag? Vi vet inte.. en första demonstration!

Tillit och användbarhet med Skolfederation

Byta bort SITHS-cert i frontend

Säker åtkomst för vård- och apoteksaktörer. David Skullered

Informationsmodellering och e-infrastrukturer

Geografisk information Representation av förändringar i datamängder

EDA095 HTML. Per Andersson. April 26, Lund University Innehåll: HTML, CSS, DOM, JavaScript

Introduktion till SAML federation

Anteckningar från referensgruppens möte

Leverantörsmöte om tekniska specifikationer

Regelverk för digital hantering av skyddade personuppgifter. Gäller från och med Dnr 1-295/2019

eduid från IOLR till verktygslåda

Revisionsfrågor HSA och SITHS 2016

Hantering av tillitsnivåer

MIS Life Insurance XML

Testning av Sambi. Testplan. Version PA5. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

NyA, Ladok och identitetsfederationer - så hänger det ihop! Kristina Leve, VHS

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

SLL s attributsprofil

Kicka Lindroos IKT-koordinator, datacentralen

Elevlegitimation ett konkret initiativ.

Datalager och datautvinning

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Mötesantecknignar - Sambidemo

Synpunktsrunda 1 attribut i Sambi

Q-Access för administratörer på Region Skåne

Design och underhåll av databaser

ORCID medlemskap och implementering vid Chalmers

Apotekens Service. federationsmodell

Heldag om FGS FGS:er och deras tekniska regelverk. Karin Bredenberg, FGS funktionen. Standarder. FGS:er och deras tekniska regelverk 1

Federerad Roll Administration ÄR GROUPER EN MEDSPELARE? OVE OLANDER MITTUNIVERSITETET

Självrättande Master Data

E-pliktleverans via RSS-feeds

Skolfederation. Staffan Hagnell Forsknings och utvecklingschef,.se Skolfederationen

2-faktor autentisering

Introduktion till Skolfederation

Single Sign-On internt och externt

Skolfederation. Staffan Hagnell, tjänsteägare.se

Redaktörshandbok. Produktvarianter. Caupo Produktvarianter - 1 -

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Identiteter och roller inom vård och omsorg Varför behövs rollbaserad behörighet? (roll och roll?)

Utveckling av Skolfederations tillitshantering

Stefan Andersson SVEP. Övergripande mål - SVEP. Harmonisering av metadatabeskrivningar för elektroniskt publicerade dokument

Datatal Gateway. F Datatal Gateway 2019

DP7 FORMELL KONTROLL

PhenixID + Zappa. Livscykelhantering, Autentisering och Single Sign-On

SWAMID AL2. Vad är SWAMID AL2 och vad innebär detta för mitt lärosäte?

Vad är XML XML. Exempel - SMIL. Exempel - XHTML. extensible Markup Language

Transkript:

Standardkonfiguration Shibboleth - vad är med?

Ta upp följande i er browser http://wiki.swamid.se/display/swamid/standard+attribute-resolver.xml http://wiki.swamid.se/display/swamid/standard+attribute-filter.xml

Standard attributdefinitioner I attribute-resolver.xml anger man hur man hämtar de attributvärden som man vill lämna ut till olika Service Providers I attribute-filter.xml anger man vilka attribut som skall lämnas till Service providers Genom att SWAMID inför entitetskategorier kommer det att bli lättare att konfigurera attribute-filter.xml, men inte nödvändigtvis lättare att hantera attribute-resolver.xml Vi kommer att publicera exempelversioner av attributfilerna, för att göra det enklare att konfigurera

Kort repetition av resolverns syntax Lokal attributidentifierare Typ av attribut (Simple/Scoped/Script/ ) <resolver:attributedefinition id="uid" xsi:type="simple xmlns="urn:mace:shibboleth:2.0:resolver:ad sourceattributeid="uid"> <resolver:dependency ref="myldap" /> <resolver:attributeencoder xsi:type="saml1string xmlns="urn:mace:shibboleth:2.0:attribute:encoder name="urn:mace:dir:attribute-def:uid" /> <resolver:attributeencoder xsi:type="saml2string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder name="urn:oid:0.9.2342.19200300.100.1.1" friendlyname="uid" /> </resolver:attributedefinition> Attributnamn i källan Behövd datakälla alt. annat attribut Formell attributdefinition SAML1 Formell attributdefinition SAML2

Standardresolverns avsnitt Core schema attributes, inetorgperson attributes. Dessa scheman är standardscheman i LDAP och de flesta finns även i AD. Har man LDAP och/eller AD som källa kan attributen i allmänhet hämtas i källan utan omskrivningar. I vissa fall kan ett attribut heta något i källan men presenteras som något annat till Service providers, ex samaccountname (även om uid också finns i AD:s schema) som presenteras som uid (oid: 0.9.2342.19200300.100.1.1). Vissa av attributen som tillhör dessa scheman är av den arten att man kan presentera dom statiskt eftersom attributvärdet är det samma för hela IdP:n, ex c, o, co, schachomeorganization eduperson attributes, noredu* attributes. Dessa scheman finns normalt inte i en standard LDAP eller AD, så dessa får man lägga till eller skapa med hjälp av script och/eller andra attribut i sina källor. På SWAMIDs wiki finns åtskilliga exempel på hur detta görs. I detta sammanhang dyker också scope upp, edupersonscopedaffiliation och edupersonprincipalname, som det finns stöd för i Shibboleth, genom att ett scope läggs till efter ett attributvärde. Ett uid med värde admhn blir på KI ett eppn= admhn@ki.se. Här dyker också edupersontargetedid (EPTID) upp, som har en speciell konstruktion. PÅ SWAMIDs wiki finns beskrivning hur man sätter upp stöd för detta attribut.

Resolverns avsnitt (forts.) I standardresolvern finns tre datakällor, en statisk, en LDAP och en StoredID (för EPTID). Man kan ha flera olika datakällor även om de angivna är de vanliga. Datakällorna beskrivs som resolver:dataconnector och deras id hänvisas till som referens i attributdefinitionerna ovan Transient ID och persitant ID har sina hänvisningar som PrincipalConnector

Kort repetition av attributfiltersyntax I attribute-filter.xml definieras vilka attribut som skickas till vilken SP Exempel: <AttributeFilterPolicy id="entity-category-sfs-1993-1153"> <PolicyRequirementRule xsi:type="saml:attributerequesterentityattributeexactmatch attributename=http://macedir.org/entity-category attributevalue="http://www.swamid.se/category/sfs-1993-1153"/> <AttributeRule attributeid="noredupersonnin"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> </AttributeFilterPolicy> Lokal filteridentifierare Särskilda regler för just detta attribut Regel för vilka SP filterpolicyn gäller Vilket attribut som ska skickas via attributets lokala identifierare

Standardfiltrets delar Standardfiltret kan delas in i: Attribut som ges till alla (transient ID, eptid) Speciella SP som skall ha speciella attribut (i standardfiltret är NyA webben edupersonentitlement, VHS personnummer och Box email och edupersonscopedaffiliation med som exempel. En normal IdP på en högskola har i allmänhet flera sådana specialare, som grundar sig på en bilateral överenskommelse mellan högskolan och en speciell SP En grupp av SP som man med förtroende kan lämna personuppgifter till dock ej personnummer

Standardfiltrets delar (forts.) entity-category-sfs-1993-1153 som får personnummer entity-category-research-and-education som innehåller följande swamidkategorier: eu-adequate-protection nren-service hei-service research-and-education Ovanstående får namn, email, eppn, scoped affiliation Alla som har metadata i SWAMIDs MD får namn och organisationsdata

Kan dessa standardfiler användas Ja förutom att de flesta nog har attributdefinitioner och attributvärden som behöver masseras i resolvern och vissa har speciella attribut som releasas till speciella Service Providers SWAMIDs wiki är full av exempel på hur man har skapat och masserat attribut lokalt Kommentarer?