Date: Thu, 28 Mar 2024 10:05:05 +0100 (CET) Message-ID: <412328863.9811.1711616705344@wiki.srce.hr> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_9810_888289807.1711616705344" ------=_Part_9810_888289807.1711616705344 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
AAI@EduHr Lab funkcionira na gotovo identi=C4=8Dan na=C4=8Din kao i prod= ukcijski SSO servis s tom razlikom =C5=A1to se u AAI@EduHr Lab okru=C5=BEen= ju mogu koristiti isklju=C4=8Divo testni elektroni=C4=8Dki identiteti. Za k= ori=C5=A1tenje AAI@EduHr Lab usluge potrebno je registrirati resurs na sli= =C4=8Dan na=C4=8Din na koji se registriraju i produkcijski resursi u sustav= u AAI@EduHr.
U AAI@EduHr Labu mogu=C4=87e je koristiti isklju=C4=8Divo testne elektro= ni=C4=8Dke identitete. Ako ve=C4=87 ne posjedujete testni elektroni=C4=8Dki= identitet, morate ga kreirati (bez njega ne=C4=87ete mo=C4=87i testirati a= utentikaciju u testnom okru=C5=BEenju).
Testni e-identitet u LDAP imenuku s domenom aai-test.hr mo=C5= =BEete zahtjevati putem obrasca do= stupnog ovdje.
U slu=C4=8Daju potrebe, zaseban testni LDAP imenik s domenom po izboru m= o=C5=BEete zahtijevati putem obrasca = dostupnog ovdje. U zasebnom testnom LDAP imeniku sami kreirate testne e= lektroni=C4=8Dke identitete po potrebi.
Procedura za registraciju testnog resursa=
gotovo je identi=C4=8Dna proceduri za registraciju produkcijskog resursa, =
razlika je samo u vrijednosti parametra Vrsta resursa. Za registraciju test=
nog resursa potrebno je prijaviti se u online Registar resursa, od=
abrati opciju Registracija resursa, popuniti formu s op=C4=87im podacima o =
resursu i SAML metapodacima te poslati zahtjev za registraciju. Pritom je v=
a=C5=BEno naglasiti da u formi za registraciju resursa, u polju Vrsta resur=
sa treba biti postavljena vrijednost Test.
Nakon =C5=A1to zahtjev za registraciju resursa odobri AAI@EduHr tim, auten=
tikacija putem AAI@EduHr Lab Single Sign-On servisa bit =C4=87e omogu=C4=87=
ena, a osoba koja je postavila zahtjev za registraciju dobit =C4=87e o tome=
obavijest elektroni=C4=8Dkom po=C5=A1tom.
Va=C5=BEne napomene
1. Iz sigurnosnih razloga pristup AAI@Edu= Hr registru resursa omogu=C4=87en je samo korisnicima =C4=8Diji zahtjev za = prijavu u Registar odobri Koordinator sustava AAI@EduHr (Srce). Stoga je pr= ilikom inicijalne prijave u Registar potrebno navesti razlog zbog kojeg bis= te trebali imati mogu=C4=87nost kori=C5=A1tenja Registra resursa.
2. Ako prvi put registrirate neki resurs = putem AAI@EduHr registra resursa ili do sada niste imali nikakvih iskustava= s autentikacijskim protokolima, mogu=C4=87e je da ne=C4=87ete znati popuni= ti pojedina polja prilikom registracije resursa. U slu=C4=8Daju da imate bi= lo kakvih problema s popunjavanjem forme za registraciju resursa, kontaktir= ajte AAI@EduHr razvojni tim.
Obzirom da resursi koji imaju status Test ne mogu koristiti pro= dukcijsku ina=C4=8Dicu sustava jedinstvene autentikacije korisnika, u konfi= guraciji klijenta potrebno je unijeti parametre po odre=C4=91enom autentika= cijskom protokolu za pristup odre=C4=91enoj ina=C4=8Dici sustava jedinstven= e autentikacije korisnika implementiranoj u sklopu AAI@EduHr Lab-a.
Metapodaci SSO instanci u testnom okru=C5= =BEenju dostupni su preko sljede=C4=87ih poveznica:
U nastavku su navedene upute na koji na=C4=8Din se naj=C4=8De=C5=A1=C4= =87e klijenti (autentikacijski moduli) pode=C5=A1avaju za autentikaciju put= em razvojnog sustava jedinstvene autentikacije.
Va=C5=BEna napomena
Ako je programska podr=C5=A1ka na va=C5= =A1em poslu=C5=BEitelju ve=C4=87 bila iskonfigurirana za kori=C5=A1tenje pr= odukcijskog AAI@EduHr Single Sign-On servisa, prije nego =C5=A1to krenete r= aditi izmjene navedene u nastavku napravite kopiju svake datoteke u kojoj r= adite izmjene kako biste u trenutku eventualne promjene statusa resursa iz = testnog u produkcijski mogli =C5=A1to lak=C5=A1e vratiti konfiguraciju pode= =C5=A1enu za uporabu produkcijskog Single Sign-On servisa.
Ako se kao autentikacijski modul koristi = SimpleSAMLphp, da= toteka ../metadata/saml20-idp-remote.php treba sadr= =C5=BEavati metapodatke AAI@EduHr Lab-a = (vrijednost za 'certData' potrebno je kopirati iz metapodataka <= /span>https://fed-lab.aaiedu.hr/sso/saml2/id= p/metadata.php?output=3Dxhtml):
$metada= ta['https://fed-lab.aaiedu.hr/sso/saml2/idp/metadata.php'] =3D array ( 'metadata-set' =3D> 'saml20-idp-remote', 'entityid' =3D> 'https://fed-lab.aaiedu.hr/sso/saml2/idp/metadata.php'= , 'SingleSignOnService' =3D> 'https://fed-lab.aaiedu.hr/sso/saml2/idp/SS= OService.php', 'SingleLogoutService' =3D> 'https://fed-lab.aaiedu.hr/sso/saml2/idp/Si= ngleLogoutService.php', 'certData' =3D> '...string-vrijednost-x509-certifikata...', );
Ina=C4=8De, uz standardni XML, na pov= eznici https://fed-lab.aaiedu.hr/sso/sa= ml2/idp/metadata.php?output=3Dxhtml&= nbsp;se nalazi i unaprijed pripljemljen PHP kod za SimpleSAMLphp koji preds= tavlja metapodatke SSO Lab instance, pa ga od tamo mo=C5=BEete jednostavno = kopirati.
Dalje, u datoteci ../config/authsources.php, u segmentu= koji se odnosi na Service Provider parametar kojeg koristi va=C5= =A1a aplikacija (standardno je to default-sp, ali za auten= tikaciju preko fed-lab.aaiedu.hr servisa trebate koristiti fedlab-s= p) varijabla idp treba sadr=C5=BEavati vrijednost= kao =C5=A1to je prikazano u nastavku:
'fedlab= -sp' =3D> array( 'saml:SP', 'entityID' =3D> NULL, 'idp' =3D> 'https://fed-lab.aaiedu.hr/sso/saml2/idp/metadata.php', 'discoURL' =3D> NULL, ),
Napomena: Prethodno navedene upute trebale bi vrijediti=
za sve ina=C4=8Dice programskog alata SimpleSAMLphp po=C4=8Dev=C5=A1i od v=
erzije 1.5 nadalje. Me=C4=91utim, zbog s=
igurnosnih razloga preporu=C4=8Damo verziju koja je ina=C4=8De dostupna u uput=
ama za implementaciju autentikacije u PHP aplikacijama.
Ako se kao autentikacijski modul koristi =
Shibboleth 2.x, u datoteci metadata.xml, unutar taga
validUn= til=3D"2023-05-17T00:00:00Z" entityID=3D"https://fed-lab.aaiedu.hr/shib/saml2/idp/metadata.php"
Vrijednost parametra = validUntil ozna=C4=8Dava do kada vrijede podaci navedeni u= datoteci metadata.xml. Obzirom da se ti podaci u pravilu = ne mijenjaju =C4=8Desto, u pravilu se taj datum poklapa s datumom isteka ak= tualnog certifikata kojim SSO servis potpisuje autentikacijske odgovore.
Zatim je u bloku
<Key= Descriptor use=3D"signing"> <ds:KeyInfo> <ds:X509Data> <ds:X509Certificate> ... </ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </KeyDescriptor>
izme=C4=91u tagova <ds:X509Certificate> i </ds:X509Certificate=
> umjesto postoje=C4=87eg potrebno ubaciti certifikat koji se n=
alazi na adresi
https://fed-lab.aaiedu.hr/shib/module.php/saml/id= p/certs.php/idp.crt
Napomena: Prilikom kopiranja sadr=C5=BEaja certifikata NE SMIJE se iskopirati p= rva (BEGIN CERTIFICATE) i zadnja (END CERTIFICATE) linija, nego samo ono = =C5=A1to se nalazi izme=C4=91u njih.
Tako=C4=91er, pri sam= om kraju bloka <IDPSSODescriptor> ... </IDPSSODescriptor&g= t; potrebno je navesti adresu AssertionConsumer s= ervisa:
<Sin= gleSignOnService Binding=3D"urn:mace:shibboleth:1.0:profiles:AuthnRequest" = Location=3D"https://fed-lab.aaiedu.hr/shib/saml2/idp/SSOService.php"/> <SingleSignOnService Binding=3D"urn:oasis:names:tc:SAML:2.0:bindings:HTT= P-Redirect" Location=3D"https://fed-lab.aaiedu.hr/shib/saml2/idp/SSOService= .php"/> <SingleSignOnService Binding=3D"urn:oasis:names:tc:SAML:2.0:bindings:HTT= P-POST" Location=3D"https://fed-lab.aaiedu.hr/shib/saml2/idp/SSOService.php= "/>
Time su zavr=C5=A1ene= sve potrebne izmjene u datoteci metadata.xml.
U datoteci sh= ibboleth2.xml u bloku <SessionInitiator type=3D"Chainin= g" ... > </SessionInitiator> postoje=C4=87u vrijednost pa= rametra entityID treba zamijeniti sljede=C4=87om vrijedno= =C5=A1=C4=87u:
entityI= D=3D"https://fed-lab.aaiedu.hr/shib/saml2/idp/metadata.php"
Na kraju, da bi se u=C4=8Ditala nova konf= iguracija potrebno je restartati Shibboleth servis.
Ako se kao autentikacijski modul koristi OIOSAML.N= ET, za autentikaciju putem AAI@EduHr Lab Single Sign-On servisa vrijede= upute na stranici I= mplementacija autentikacije putem sustava AAI@EduHr u .NET web aplikacijama= uz nekoliko manjih izmjena:
U koraku 10 blok <IDPEndPoints metadata=3D"C:\metadata\>..= .</IDPEndPoints> treba imati sljede=C4=87i sadr=C5=BEaj:
<IDP= EndPoints metadata=3D"C:\metadata\> <add id=3D"https://fed-lab.aaiedu.hr/ms/saml2/idp/metadata.php"> <CertificateValidation> <add type=3D"dk.nita.saml20.Specification.SelfIssuedCertificateSpecifica= tion, dk.nita.saml20"/> </CertificateValidation> </add> </IDPEndPoints>
U koraku 10 metapodatke treba dohvatiti s adrese https://fed-lab.aaiedu.hr/ms/saml2/idp/metadata.php
Za testno okru=C5=BEenje, CAS klijent je potrebno postaviti na sljede=C4= =87i na=C4=8Din:
CAS Server Hostname: fed-lab.aaiedu.hr
CAS Server Port: 443
CAS Server Context: /sso/module.php/casserver
CAS CA Cert Path: https://fe=
d-lab.aaiedu.hr/sso/module.php/saml/idp/certs.php/idp.crt
CAS Login: https://fed-lab.aaiedu.h=
r:443/sso/module.php/casserver/login
CAS Logout: https://fed-lab.aaiedu=
.hr:443/sso/module.php/casserver/logout
CAS Service Validate: htt=
ps://fed-lab.aaiedu.hr:443/sso/module.php/casserver/serviceValidate
Za testno okru=C5=BEenje, prilikom konfiguriranja OIDC klijenta, umjest= o produkcijskog potrebno je koristiti AAI@EduHr Lab OIDC konfiguracijski UR= L: https://fed-lab.aaiedu.hr/.well-kno= wn/openid-configuration.
Od uvo=C4=91enja AAI@EduHr Lab Single Sig= n-On servisa u produkciju, resursi koji koriste AAI@EduHr sustav jedinstven= e autentikacije fizi=C4=8Dki su razdvojeni u dvije skupine:
Niti jedan resurs ne mo=C5=BEe istodobno = imati pristup i testnom i produkcijskom Single Sign-On servisu.
Ovisno o tehnologiji, programskom jeziku = i autentikacijskom protokolu kori=C5=A1tenom za implementaciju pojedinog re= sursa, za pristup produkcijskom AAI@EduHr Single Sign-On s= ervisu potrebno je na strani resursa iskonfigurirati parametre u skladu sa = standarnim uputama za pojedini autentikacijski protokol.
Za pristup testnoj ina= =C4=8Dici Single Sign-On servisa potrebno je slijediti iste upute kao i kod= produkcijskog servisa i nakon toga jo=C5=A1 napraviti izmjene opisane u ko= raku 2) na ovoj stranici.
Prilikom migracije resursa iz testnog u p= rodukcijsko okru=C5=BEenje (i obrnuto), na strani AAI@EduHr sustava potrebn= o je u Registru resursa promijeniti vrijednost polja Vrsta resursa = i kliknuti na opciju Zatra=C5=BEi promjenu podataka. Na taj na=C4=8Din =C4=87ete postaviti zahtjev za promjenu statusa resur= sa. Prilikom prebacivanja resursa iz testnog u produkcijsko okru=C5=BEenje,= zahtjev za promjenom najprije treba odobriti odgovorna osoba mati=C4=8Dne = ustanove s kojom je resurs povezan, a potom i netko od administratora susta= va AAI@EduHr. Nakon =C5=A1to administrator sustava AAI@EduHr odobri zahtjev= za izmjenom statusa, ovisno o vrsti zahtjeva resurs =C4=87e biti preba=C4= =8Den iz konfiguracije testnog u konfiguraciju produkcijskog AAI@EduHr Sing= le Sign-On servisa ili obrnuto.
Za sva dodatna pitanja i pomo=C4=87 pri r=
je=C5=A1avanju eventualnih problema mo=C5=BEete kontaktirati administratore=
sustava AAI@EduHr slanjem elektroni=C4=8Dke po=C5=A1te na adresu aai@srce.h=
r.