Info |
---|
Mål: Teknisk dokumentation hur ett lärosäte gör för att ersätta ett CWAA-inloggningen med SWAMID-federationen på studera.nu. |
Info |
---|
För information: Från och med den 15 februari 2011 går det inte längre använda CWAA för inloggning på Studera.nu. |
Info |
---|
Antagningsdelen av studera.nu kommer att byta namn till antagning.se. Detta är planerat att genomföras i september 2011. |
Förutsättningar
- Lärosätet har en IdP uppsatt som är medlem i SWAMID (Om frågor - kontakta operations snabel-a SWAMID.SE).
- Attribut skickas till samtliga SP i Swamid enligt wikisidan SWAMID HowTo (Shibboleth 2.x).
- Verifiera att din IdP har tillgång till personnummer kopplat till användarnamn för aktuella studenter enligt wikisidan norEduPersonNIN och Svenska Personnummer.
- VHS SP är medlem i SWAMID med (namnen) https://www.studera.nu/shibboleth-sp och https://www.antagning.se/shibboleth-sp (samt test-miljöerna på https://www.studera.testa.antagning.se/aws-sp och https://www.studera.testb.antagning.se/shibboleth-sp).
- VHS har en dropdown-lista (på studera.nu - inloggning högskola) som under hösten klarar ANTINGEN CWAA eller SAML, dock EJ båda samtidigt.
Rekommenderad arbetsgång
- Modifiera attribute-resolvern för din IdP så att den inkluderar personnummer enligt nedan beskrivet format (
norEduPersonNIN
(nepn)) - Modifiera attribute-release policy för din IdP enligt kod nedan. Syftet är att tillåta ivägskickande av personnummer till VHS SAMT för test sp.swamid.se
- Verifiera mot sp.swamid.se att ni ser personnummer och användarnamn.
- Kontakta VHS för att få sin IdP inlagd i VHSs testmiljö - appldrift_saml snabel-a VHS.SE.
- Verifiera att test fungerar via aktuell inloggningslänk som VHS tillhandahåller.
- Bestäm tillsammans med VHS om ett datum för skarp driftsättning
- Genomför den skarpa driftsättningen.
Konfiguration för Shibboleth
Info |
---|
Konfigurationerna under detta avsnitt fungerar endast för Shibboleth 2 eller senare. För simpleSAMLphp och ADFS2 kan konfigurationsexemplen endast användas som inspiration. |
Modifiera filen attribute-resolver.xml:
Personnummer överförs från din IdP till VHS anstagningssystem med attributet norEduPersonNIN
. Konfigurationen för norEduPersonNIN
i attribute-resolver.xml finns på sidan Attributdefinitioner norEdu-familjen. Konfigurationen förutsätter att personnummer finns lagrat i din katalog (LDAP) med attributet norEduPersonNIN
enligt skatteverkets rekommendation, för mer info se norEduPersonNIN och Svenska Personnummer.
Modifiera filen attribute-filter.xml:
Från september 2011 kommer VHS byta namn på sin SP. Beroende på detta lägger vi redan nu med båda namnen för att säkerställa en enkel övergång från https://www.studera.nu till https://www.antagning.se. Notera att https://sp.swamid.se/shibboleth, https://www.studera.testa.antagning.se/aws-sp samt https://www.studera.testb.antagning.se/shibboleth-sp ligger med i test-syfte och KAN tas bort efter att tester och verifiering är klara.
Code Block |
---|
<AttributeFilterPolicy id="releaseNorEduPersonNIN">
<PolicyRequirementRule |
Warning |
---|
Instruktionerna nedan är EJ färdiga utan är under utveckling. VHS kommer att driftsätta tjänsten den 13 september 2010, innan dess går det inte att få generell tillgång till tjänsten. |
Mål: Att ersätta ett CWAA med lärosätets IdP (SAML-teknologi)
Rekommenderad arbetsgång:
- Sätt upp en IdP för test/konfigurering (om man inte har en, endast Dalarna samt Chalmers har ingen IdP idag).
- Säkerställ att denna IdP har tillgång till användarnamn kopplat till personnummer för aktuella studenter.
- Kontakta VHS för att få sin IdP inlagd i VHSs wayf/DS.
- Konfigurera IdP enligt nedan för att skicka personnummer till VHS SP såsom attributet norEduPersonNIN.
- Testa.
Följande filer (OBS, Shibboleth-specifikt) behöver editeras:
Modifiera attribute-resolver.xml enligt:
Code Block |
---|
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN">
<resolver:Dependency ref="myLDAP" />
<resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName>
<resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName>
</resolver:AttributeDefinition>
|
Skatteverket publicerar en skrift SKV 704 (upplaga 8 är senaste i skrivande stund) som beskriver hur personnummret är uppbyggt. I avsnittet "Personnummer i ADB-system" står följande:
Personnummer i ADB-system
Inom Skatteverkets ADB-system för folkbokföring lagras personnumret med tolv siffror, där de två inledande siffrorna anger under vilket århundrade en person är född. Siffran för århundrade kan vara 18, 19 eller – efter millennieskiftet – 20.Siffran visas normalt inte på terminalbilder eller utskrifter men ingår i aviseringen av folkbokförings-uppgifter till andra myndigheter via Navet, Skatte-verkets system för distribution av folkbokföringsupp-gifter till samhället.
SWAMID rekommenderar att man följer denna princip för personnummer som skickas via attributet norEduPersonNIN, dvs att personnummer representeras som 12 siffror utan bindestreck eller mellanslag.
Modifiera attribute-filter.xml enligt:
Alt 1: (hämta maskiner från en xml-fil) (OBS, certifikaten skall matchas)
Code Block |
---|
<AttributeFilterPolicy> <PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="http://md.swamid.se/md/nya-1.0-testing.xml" /> <AttributeRule attributeID="norEduPersonNIN"> <PermitValueRule xsi:type="basic:ANYOR" /> </AttributeRule> </AttributeFilterPolicy> |
Alt 2: (Peka på ett antal specifika maskiner med specifika namn)
Code Block |
---|
<AttributeFilterPolicy> <PolicyRequirementRule<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://VHS-SP-NYTT-NAMNwww.studera.nu/shibboleth-sp" /> <AttributeRule <basic:Rule xsi:type="basic:AttributeRequesterString" attributeIDvalue="norEduPersonNIN"https://www.antagning.se/shibboleth-sp" /> <PermitValueRule<basic:Rule xsi:type="basic:ANY:AttributeRequesterString" value="https://www.studera.testa.antagning.se/aws-sp" /> </AttributeRule> </AttributeFilterPolicy> |
Modifiera relying-party.xml:
Info |
---|
Detta kommer evt inte behövas i framtiden om VHS lägger in sina IdP:er i SWAMID. |
Code Block |
---|
<MetadataProvider id="URLMD" <basic:Rule xsi:type="FileBackedHTTPMetadataProviderbasic:AttributeRequesterString" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL value="httphttps://mdwww.swamid.se/md/nya-1.0-testing.xml" backingFile="/opt/shibboleth-idp/metadata/nya-1.0-testing.xml"studera.testb.antagning.se/shibboleth-sp" /> <MetadataFilter <basic:Rule xsi:type="ChainingFilterbasic:AttributeRequesterString" xmlns value="urn:mace:shibboleth:2.0:metadata"> https://sp.swamid.se/shibboleth" /> </PolicyRequirementRule> <AttributeRule <MetadataFilter xsi:typeattributeID="SignatureValidationnorEduPersonNIN" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="swamid-metadata-signer" requireSignedMetadata="true> <PermitValueRule xsi:type="basic:ANY" /> </MetadataFilter>AttributeRule> </MetadataProvider> |
...
AttributeFilterPolicy>
|