...
Warning |
---|
Instruktionerna nedan är EJ färdiga utan är under utveckling. |
...
VHS kommer att driftsätta tjänsten den 13 september 2010, innan dess går det inte att få generell tillgång till tjänsten. |
...
Mål: Att ersätta ett CWAA med lärosätets IdP (SAML-teknologi)
Rekommenderad arbetsgång:
- Sätt upp en IdP för test/konfigurering (om man inte har en, endast Dalarna samt Chalmers har ingen IdP idag).
- Säkerställ att denna IdP har tillgång till användarnamn kopplat till personnummer för aktuella studenter.
- Kontakta VHS för att få sin IdP inlagd i VHSs wayf/DS.
- Konfigurera IdP enligt nedan för att skicka personnummer till VHS SP såsom attributet norEduPersonNIN.
- Testa.
Följande filer (OBS, Shibboleth-specifikt) skall behöver editeras:
Modifiera attribute-resolver.xml enligt:
Code Block |
---|
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN"> <resolver:Dependency ref="myLDAP" /> <resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName> <resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName> </resolver:AttributeDefinition> |
SWAMIDs rekommendation kring format på personnummer:
Skatteverket publicerar en skrift SKV 704 (upplaga 8 är senaste i skrivande stund) som beskriver hur personnummret är uppbyggt. I avsnittet "Personnummer i ADB-system" står följande:
...
SWAMID rekommenderar att man följer denna princip för personnummer som skickas via attributet norEduPersonNIN, dvs att personnummer representeras som 12 siffror utan bindestreck eller mellanslag.
Modifiera attribute-filter.xml enligt:
Alt 1: (hämta maskiner från en xml-fil) (OBS, certifikaten skall matchas)
Code Block |
---|
<AttributeFilterPolicy> <PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="http://md.swamid.se/md/nya-1.0-testing.xml" /> <AttributeRule attributeID="norEduPersonNIN"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> |
Alt 2: (Peka på ett antal specifika maskiner med specifika namn)
Code Block |
---|
<AttributeFilterPolicy> <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://VHS-SP-NYTT-NAMN.studera.nu/shibboleth" /> <AttributeRule attributeID="norEduPersonNIN"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> |
Modifiera relying-party.xml
...
:
Info |
---|
Detta kommer evt inte behövas i framtiden om VHS |
...
lägger in sina IdP:er i SWAMID |
...
. |
Code Block |
---|
<MetadataProvider id="URLMD" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL="http://md.swamid.se/md/nya-1.0-testing.xml" backingFile="/opt/shibboleth-idp/metadata/nya-1.0-testing.xml"> <MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata"> <MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="swamid-metadata-signer" requireSignedMetadata="true" /> </MetadataFilter> </MetadataProvider> |
...