You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 13 Next »

Följade steg behöver du följa för att ansluta en SP till SWAMID:

Installera programvara

Först och främst behöver du installera programvara. Om du kör Apache som webserver så rekommenderar vi att du använder Shibboleth. De flesta större Linux-distributioner (debian, ubuntu, centos, redhat) har Shibboleth färdigpaketerat och det går att installera som ett vanligt paket. På ubuntu/debian installerar man tex Shibboleth enklast såhär:

# apt-get install libapache2-mod-shib2

Om din applikation är skriven helt i php eller python kan det vara intressant att titta på simpleSAMLphp eller pySAML2. Dessa låter dig integrera en SP direkt i din applikation. Detta kräver dock lite mer erfarenhet. Om din applikation är Java-baserad rekommenderar vi att du använder en Apache-server som frontend (via mod_proxy_ajp) och låter Shibboleth i SPn sköta inloggning till din applikation. Läs mer om hur du använder Shibboleth och Apache med Java här..

Om din applikation är skriven i .NET och kör i IIS så bör du kunna använda WIF (Windows Identity Foundation). Ett annat alternativ som är väl beprövat och fungerar mycket väl ihop med SWAMID är att använda Shibboleth för IIS. Det finns MSI-paket för 32 och 64-bitars Windows på http://shibboleth.internet2.edu/downloads.html.

Metadata och signaturvalidering

Börja med att ladda ner signerigs-certifikatet för SWAMID från https://md.swamid.se/md/md-signer.crt. Spara det som swamid-signer.crt i /etc/shibboleth (om din SP följer normal katalogstruktur).

Lägg sedan till följande i shibboleth2.xml bland alla andra MetadataProvider-element:

<MetadataProvider 
   type="XML" 
   uri="http://md.swamid.se/md/swamid-1.0.xml"
   backingFilePath="swamid-1.0.xml" reloadInterval="300">
      <SignatureMetadataFilter certificate="swamid-signer.crt"/>
</MetadataProvider>

Notera att metadata med fördel kan laddas ner från http (inte https). Säkerheten i metadata kommer från validering av signaturen på metadatafilen och inte från TLS - https gör ingen nytta i detta fall.

Attribut

Du kommer antagligen att vilja aktivera lite fler attribut än de som är aktiverade per default

Discovery Service och/eller WAYF

För att användarna ska hitta till sina IdPer använder man normalt en speciell tjänst som låter användare välja bland en lista av IdPer. Läs mer om hur du konfigurerar Discovery Service och WAYF i din SP. När du gjort detta är du klar för en omstart av shibd för att ändringarna ska ta effekt.

Omstart och test

# /etc/init.d/shibd restart

Om allt fungerar så ska det straxt skapas en fil /var/run/shibboleth/swamid-1.0.xml med SAML2 metadata i. Om filen inte dyker upp beror det oftast på att shibd inte startar eller på att det smugit sig in något syntaxfel i någon av konfigurationsfilerna. Kolla loggarna!

Registrera tjänsten i SWAMID

För att din tjänst ska kunna logga in via IdP:er i SWAMID måste SPs metadata läggas in i http://md.swamid.se/md/swamid-1.0.xml. Detta åstadkommer du genom att skicka ett mail till operations@swamid.se och tala om vad SPn används till, vem som ansvarar för den samt uppge hostnamnet till SPn. Om du ändrar i konfigurationen i din shibboleth2.xml så kan det betyda att metadata i SWAMID måste uppdateras - skicka isåfall ett nytt mail till operations@swamid.se och tala om vilken SP som ska uppdateras. Detta är speciellt viktigt om du byter nycklar eller certifikat.

  • No labels