Denna sida är under uppbyggnad och är ännu varken fullständig eller testad!
Mål: Teknisk dokumentation hur ett lärosäte gör för att ge handläggare vid lärosätet tillgång till NyA-webben.
För frågor kring dokumentationen nedan kontakta operations snabel-a SWAMID.SE
Begränsning:
- Denna sida beskriver endast hur en institutionsanvändare kan få tillgång till NyA-webben genom att lärosätet ger användaren någon av rollerna department (institutionsanvändare - utdata) och base (basanvändare) med institutionskoppling i samband med inloggningen.
Förutsättningar:
- Lärosätet har en IdP uppsatt som är medlem i SWAMID (Om frågor - kontakta operations snabel-a SWAMID.SE).
- Attribut skickas till samtliga SP i Swamid enligt wikisidan SWAMID HowTo (Shibboleth 2.x).
- VHS SP för NyA-webben är medlem i SWAMID med (namnet) XXXX.
Rekommenderad arbetsgång:
- Modifiera attribute-resolvern för din IdP så att den inkluderar rättighet att använda NyA-webben enligt nedan beskrivet format (
eduPersonEntitlement
(epe)). - Modifiera attribute-release policy för din IdP enligt kod nedan. Syftet är att tillåta ivägskickande av behörighetsinformation till VHS SAMT för test sp.swamid.se
- Verifiera mot sp.swamid.se att ni ser namn, e-postadress, rättighet (entitlement) och unik identitet (
eduPersonPrincipalName
(eppn)). - Kontakta VHS för att få sin IdP inlagd i NyA-webben - appldrift_saml snabel-a VHS.SE.
- Verifiera att inloggning med behörigheter fungerar via aktuell inloggningslänk som VHS tillhandahåller.
Konfiguration för Shibboleth:
Konfigurationerna under detta avsnitt fungerar endast för Shibboleth 2 eller senare. För simpleSAMLphp och ADFS2 kan konfigurationsexemplen endast användas som inspiration.
Modifiera filen attribute-resolver.xml:
Alternativ 1: Särskilt attribut finns i LDAP för att visa att en person har rättighet i NyA-webben
Avsnittet ännu ej klart!
Alternativ 2: Grupp används i LDAP för att visa att en person har rättighet i NyA-webben (fungerar med Actice Directory)
Avsnittet ännu ej klart!
Modifiera filen attribute-filter.xml enligt:
<AttributeFilterPolicy id="releaseNyAwebbenEntitlement"> <PolicyRequirementRule xsi:type="basic:OR"> <basic:Rule xsi:type="basic:AttributeRequesterString" value="XXXX" /> <basic:Rule xsi:type="basic:AttributeRequesterString" value="https://sp.swamid.se/shibboleth" /> </PolicyRequirementRule> <AttributeRule attributeID="NyAwebbenEntitlement"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy>