Mål: Att ersätta ett CWAA med lärosätets IdP (SAML-teknologi)
Rekommenderad arbetsgång:
inloggning med SWAMID-federationen.
För information: Under Feb 2011 kommer CWAA att avvecklas helt SAMT antagningsdelan av studera.nu kommer att byta namn till antagning.se
Förutsättningar:
1. Lärosätet har en IdP uppsatt som är medlem i SWAMID (Om frågor - kontakta operations snabel-a SWAMID.SE)
2. Som test-miljö används sp.swamid.se, ytterligare testmiljö är under utveckling på VHS.
3. Verifiera att din IdP har tillgång till personnummer kopplat till användarnamn för aktuella studenter enligt format nedan.
Rekommenderad arbetsgång:
- Modifiera attribute-resolvern för din IdP så att den inkluderar personnummer enligt nedan beskrivet format (norEduPersonNIN)
- Modifiera attribute-release policy för din IdP enligt kod nedan. Syftet är att tillåta ivägskickande av personnummer till VHS SAMT för test sp.swamid.se
- Verifiera mot sp.swamid.se att ni ser personnummer och användarnamn
- Sätt upp en IdP för test/konfigurering.
- Säkerställ att denna IdP har tillgång till användarnamn kopplat till personnummer för aktuella studenter.
- Kontakta VHS för att få sin IdP inlagd i VHSs wayf/DS.
- Konfigurera IdP enligt nedan för att skicka personnummer till VHS SP såsom attributet norEduPersonNIN.
- testmiljö - Christina.Kronblad snabel-a VHS.SE
- Verifiera att test fungerar.
- Bestäm tillsammans med VHS om ett datum för skarp driftsättning
- VerkställTesta.
Följande filer behöver editeras: (OBS, Shibboleth-specifikt) behöver editeras:, Simple-SAMLphp kommer senare)
Modifiera filen attribute-resolver.xml enligt:
Koden nedan förutsätter att personnumret ligger lagrat i din katalog (LDAP) med attributet Wiki Markup norEduPersonNIN enligt skatteverkets rekommendation, för mer info se \[norEduPersonNIN och Svenska Personnummer\].
Code Block |
---|
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN"> <resolver:Dependency ref="myLDAP" /> <resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName> <resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName> </resolver:AttributeDefinition> |
...
SWAMID rekommenderar att man följer denna princip för personnummer som skickas via attributet norEduPersonNIN, dvs att personnummer representeras som 12 siffror utan bindestreck eller mellanslag.
Modifiera filen attribute-filter.xml enligt:
Alt 1: (hämta maskiner från en xml-fil) (OBS, certifikaten skall matchas)
Code Block |
---|
<AttributeFilterPolicy>
<PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="http://md.swamid.se/md/nya-1.0-testing.xml" />
<AttributeRule attributeID="norEduPersonNIN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>
|
From Feb 2011 kommer VHS byta namn på sin SP. PGA detta lägger vi redan nu med båda namnen för att säkerställa en enkel övergång (Från https://www.studera.nu/shibboleth-sp till https://www.antagning.se/shibboleth-sp)
sp.swamid.se ligger med ENDAST i test-syfte och KAN tas bort efter att tester och verifiering är klara.
VHS testmiljö kommer att kompletteras nedan av UU. Leif trollar till syntax nedan.
...
Code Block |
---|
<AttributeFilterPolicy> <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://VHS-SP-NYTT-NAMNwww.studera.nu/shibboleth-sp https://www.antagning.se/shibboleth-sp sp.swamid.se" /> <AttributeRule attributeID="norEduPersonNIN"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> |
Modifiera relying-party.xml:
Info |
---|
Detta kommer evt inte behövas i framtiden om VHS lägger in sina IdP:er i SWAMID. |
Code Block |
---|
<MetadataProvider id="URLMD" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL="http://md.swamid.se/md/nya-1.0-testing.xml"
backingFile="/opt/shibboleth-idp/metadata/nya-1.0-testing.xml">
<MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
<MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="swamid-metadata-signer" requireSignedMetadata="true" />
</MetadataFilter>
</MetadataProvider>
|
Utestående frågor:
Utestående frågor:
- Skall VHS SP vara med i SWAMID? - Vi utgår från att VHS SP är med i SWAMID.
- Vad skall VHS SP heta? https://www.studera.nu/shibboleth-sp och https://www.antagning.se/shibboleth-sp
- Skall VHS SP vara med i SWAMID?
- Vad skall VHS SP heta?
- Skall denna SP använda en egen DS/WAYF eller falla tillbaka på wayf.swamid.se? Swami rekommenderar att - VHS har en egen DS/wayf av två skäl:
- Filtrera vilka lärosäten som syns i "listan"
- Kan styra den egna grafiska layoutendropdown-lista som under hösten klarar både CWAA och SAML