Info |
---|
Mål: Teknisk dokumentation hur ett lärosäte gör för att ersätta ett CWAA-inloggningen med SWAMID-federationen på studera.nu. |
Info |
---|
För information: Från och med den 15 februari 2011 går det inte längre använda CWAA för inloggning på Studera.nu. |
Info |
---|
Antagningsdelen av studera.nu kommer att byta namn till antagning.se. Detta är planerat att genomföras i september 2011. |
Förutsättningar
- Lärosätet har en IdP uppsatt som är medlem i SWAMID (Om frågor - kontakta operations snabel-a SWAMID.SE).
- Attribut skickas till samtliga SP i Swamid enligt wikisidan SWAMID HowTo (Shibboleth 2.x).
- Verifiera att din IdP har tillgång till personnummer kopplat till användarnamn för aktuella studenter enligt wikisidan norEduPersonNIN och Svenska Personnummer.
- VHS SP är medlem i SWAMID med (namnen) https://www.studera.nu/shibboleth-sp och https://www.antagning.se/shibboleth-sp (samt test-miljöerna på https://www.studera.testa.antagning.se/aws-sp och https://www.studera.testb.antagning.se/shibboleth-sp).
- VHS har en dropdown-lista (på studera.nu - inloggning högskola) som under hösten klarar ANTINGEN CWAA eller SAML, dock EJ båda samtidigt.
Rekommenderad arbetsgång
- Modifiera attribute-resolvern för din IdP så att den inkluderar personnummer enligt nedan beskrivet format (
norEduPersonNIN
(nepn)) - Modifiera attribute-release policy för din IdP enligt kod nedan. Syftet är att tillåta ivägskickande av personnummer till VHS SAMT för test sp.swamid.se
- Verifiera mot sp.swamid.se att ni ser personnummer och användarnamn.
- Kontakta VHS för att få sin IdP inlagd i VHSs testmiljö - appldrift_saml snabel-a VHS.SE.
- Verifiera att test fungerar via aktuell inloggningslänk som VHS tillhandahåller.
- Bestäm tillsammans med VHS om ett datum för skarp driftsättning
- Genomför den skarpa driftsättningen.
Konfiguration för Shibboleth
Info |
---|
Konfigurationerna under detta avsnitt fungerar endast för Shibboleth 2 eller senare. För simpleSAMLphp och ADFS2 kan konfigurationsexemplen endast användas som inspiration. |
Modifiera filen attribute-resolver.xml:
Personnummer överförs från din IdP till VHS anstagningssystem med attributet norEduPersonNIN
. Konfigurationen för norEduPersonNIN
i attribute-resolver.xml finns på sidan Attributdefinitioner norEdu-familjen. Konfigurationen förutsätter att personnummer finns lagrat i din katalog (LDAP) med attributet norEduPersonNIN
enligt skatteverkets rekommendation, för mer info se norEduPersonNIN och Svenska Personnummer.
Modifiera filen attribute-filter.xml:
Från september 2011 kommer VHS byta namn på sin SP. Beroende på detta lägger vi redan nu med båda namnen för att säkerställa en enkel övergång från https://www.studera.nu till https://www.antagning.se. Notera att https://sp.swamid.se/shibboleth, https://www.studera.testa.antagning.se/aws-sp samt https://www.studera.testb.antagning.se/shibboleth-sp ligger med i test-syfte och KAN tas bort efter att tester och verifiering är klara.
Code Block |
---|
<AttributeFilterPolicy id="releaseNorEduPersonNIN">
<PolicyRequirementRule xsi:type="basic:OR">
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.studera.nu/shibboleth-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.antagning.se/shibboleth-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.studera.testa.antagning.se/aws-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.studera.testb.antagning.se/shibboleth-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://sp.swamid.se/shibboleth" />
</PolicyRequirementRule>
<AttributeRule attributeID="norEduPersonNIN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>
|
Följande attribut krävs i attribute-map.xml (SP):
Code Block |
---|
<Attribute name="urn:mace:dir:attribute-def:norEduPersonNIN" id="norEduPersonNIN"/>
<Attribute name="urn:mace:dir:attribute-def:norEduPersonLIN" id="norEduPersonLIN"/>
<Attribute name="urn:mace:dir:attribute-def:norEduOrgAcronym" id="norEduOrgAcronym"/>
<Attribute name="urn:mace:dir:attribute-def:norEduPersonBirthDate" id="norEduPersonBirthDate"/>
<Attribute name="urn:mace:dir:attribute-def:norEduOrgUniqueIdentifier" id="norEduOrgUniqueIdentifier"/>
<Attribute name="urn:mace:dir:attribute-def:norEduOrgUnitUniqueIdentifier" id="norEduOrgUnitUniqueIdentifier"/>
<Attribute name="urn:mace:dir:attribute-def:norEduOrgNIN" id="norEduOrgNIN"/>
<Attribute name="urn:mace:dir:attribute-def:norEduOrgUniqueNumber" id="norEduOrgUniqueNumber"/>
<Attribute name="urn:mace:dir:attribute-def:norEduOrgUnitUniqueNumber" id="norEduOrgUnitUniqueNumber"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.5" id="norEduPersonNIN"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.4" id="norEduPersonLIN"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.6" id="norEduOrgAcronym"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.3" id="norEduPersonBirthDate"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.7" id="norEduOrgUniqueIdentifier"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.8" id="norEduOrgUnitUniqueIdentifier"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.12" id="norEduOrgNIN"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.1" id="norEduOrgUniqueNumber"/>
<Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.2" id="norEduOrgUnitUniqueNumber"/>
|
Följande behövs i attribute.resolver.xml (IdP):
Code Block |
---|
<!-- Schema: norEdu* attributes -->
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String"
xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduPersonNIN" />
<resolver:AttributeEncoder xsi:type="SAML2String"
xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.5" friendlyName="norEduPersonNIN" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduPersonLIN" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonLIN">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduPersonLIN" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.4" friendlyName="norEduPersonLIN" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduOrgAcronym" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduOrgAcronym">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduOrgAcronym" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.6" friendlyName="norEduOrgAcronym" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduPersonBirthDate" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonBirthDate">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduPersonBirthDate" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.3" friendlyName="norEduPersonBirthDate" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduOrgUniqueIdentifier" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduOrgUniqueIdentifier">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduOrgUniqueIdentifier" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.7" friendlyName="norEduOrgUniqueIdentifier" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduOrgUnitUniqueIdentifier" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduOrgUnitUniqueIdentifier">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduOrgUnitUniqueIdentifier" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.8" friendlyName="norEduOrgUnitUniqueIdentifier" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduOrgNIN" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduOrgNIN">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduOrgNIN" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.12" friendlyName="norEduOrgNIN" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduOrgUniqueNumber" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduOrgUniqueNumber">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduOrgUniqueNumber" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.1" friendlyName="norEduOrgUniqueNumber" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition id="norEduOrgUnitUniqueNumber" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduOrgUnitUniqueNumber">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:mace:dir:attribute-def:norEduOrgUnitUniqueNumber" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="urn:oid:1.3.6.1.4.1.2428.90.1.2" friendlyName="norEduOrgUnitUniqueNumber" />
</resolver:AttributeDefinition>
|