You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

AAI@EduHr Lab funkcionira na gotovo identičan način kao i produkcijski SSO servis s tom razlikom što se u AAI@EduHr Lab okruženju mogu koristiti isključivo testni elektronički identiteti. Za korištenje AAI@EduHr Lab usluge potrebno je registrirati resurs na sličan način na koji se registriraju i produkcijski resursi u sustavu AAI@EduHr.

Proces registracije

Procedura za registraciju testnog resursa gotovo je identična proceduri za registraciju produkcijskog resursa, razlika je samo u vrijednosti parametra Vrsta resursa. Za registraciju testnog resursa potrebno je prijaviti se u online Registar resursa, odabrati opciju Registracija resursa, popuniti formu s općim podacima o resursu i SAML metapodacima te poslati zahtjev za registraciju. Pritom je važno naglasiti da u formi za registraciju resursa, u polju Vrsta resursa treba biti postavljena vrijednost Test.

Nakon što zahtjev za registraciju resursa odobri AAI@EduHr tim, autentikacija putem AAI@EduHr Lab Single Sign-On servisa bit će omogućena, a osoba koja je postavila zahtjev za registraciju dobit će o tome obavijest elektroničkom poštom.

Važne napomene:

1. Iz sigurnosnih razloga pristup AAI@EduHr registru resursa omogućen je samo korisnicima čiji zahtjev za prijavu u Registar odobri Koordinator sustava AAI@EduHr(link sends e-mail) (Srce). Stoga je prilikom inicijalne prijave u Registar potrebno navesti razlog zbog kojeg biste trebali imati mogućnost korištenja Registra resursa.

2. Ako prvi put registrirate neki resurs putem AAI@EduHr registra resursa ili do sada niste imali nikakvih iskustava s autentikacijskim protokolima, moguće je da nećete znati popuniti pojedina polja prilikom registracije resursa. U slučaju da imate bilo kakvih problema s popunjavanjem forme za registraciju resursa, kontaktirajte AAI@EduHr razvojni tim(link sends e-mail).

Metapodaci autentikacijskog servisa i protokoli

Obzirom da resursi koji imaju status Test ne mogu koristiti produkcijsku inačicu sustava jedinstvene autentikacije korisnika, u konfiguraciji klijenta potrebno je unijeti parametre po određenom autentikacijskom protokolu za pristup određenoj inačici sustava jedinstvene autentikacije korisnika implementiranoj u sklopu AAI@EduHr Lab-a. U nastavku su navedene upute na koji način se najčešće klijenti (autentikacijski moduli) podešavaju za autentikaciju putem razvojnog sustava jedinstvene autentikacije.

Važna napomena:

Ako je programska podrška na vašem poslužitelju već bila iskonfigurirana za korištenje produkcijskog AAI@EduHr Single Sign-On servisa, prije nego što krenete raditi izmjene navedene u nastavku napravite kopiju svake datoteke u kojoj radite izmjene kako biste u trenutku eventualne promjene statusa resursa iz testnog u produkcijski mogli što lakše vratiti konfiguraciju podešenu za uporabu produkcijskog Single Sign-On servisa.

SAML postavke

simpleSAMLphp (PHP):

Ako se kao autentikacijski modul koristi SimpleSAMLphp, datoteka ../metadata/saml20-idp-remote.php treba sadržavati metapodatke AAI@EduHr Lab-a:

$metadata['https://fed-lab.aaiedu.hr/sso/saml2/idp/metadata.php'] = array (
  'metadata-set' => 'saml20-idp-remote',
  'entityid' => 'https://fed-lab.aaiedu.hr/sso/saml2/idp/metadata.php',
  'SingleSignOnService' => 'https://fed-lab.aaiedu.hr/sso/saml2/idp/SSOService.php',
  'SingleLogoutService' => 'https://fed-lab.aaiedu.hr/sso/saml2/idp/SingleLogoutService.php',
  'certData' =>

'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'

);

U datoteci ../config/authsources.php, u segmentu koji se odnosi na Service Provider parametar kojeg koristi vaša aplikacija (standardno je to default-sp, ali za autentikaciju preko fed-lab.aaiedu.hr servisa trebate koristiti fedlab-sp) varijabla idp treba sadržavati vrijednost kao što je prikazano u nastavku:

'fedlab-sp' => array(
  'saml:SP',
  'entityID' => NULL,
  'idp' => 'https://fed-lab.aaiedu.hr/sso/saml2/idp/metadata.php',
  'discoURL' => NULL,
),

Napomena: Prethodno navedene upute trebale bi vrijediti za sve inačice programskog alata SimpleSAMLphp počevši od verzije 1.5 nadalje. Međutim, zbog sigurnosnih razloga najniža verzija koju preporučamo je SimpleSAMLphp 1.15.4 (ručna instalacija raspakiravanjem iz arhive ili instalacija iz AAI@EduHr Debian paketa).

Shibboleth (Java):

Ako se kao autentikacijski modul koristi Shibboleth 2.x, u datoteci metadata.xml, unutar taga EntityDescriptor treba postaviti slijedeće vrijednosti parametra validUntil i entityID:

validUntil="2022-06-16T00:00:00Z"
entityID="https://fed-lab.aaiedu.hr/shib/saml2/idp/metadata.php"

Vrijednost parametra validUntil označava do kada vrijede podaci navedeni u datoteci metadata.xml. Obzirom da se ti podaci u pravilu ne mijenjaju često, u pravilu se taj datum poklapa s datumom isteka aktualnog certifikata kojim SSO servis potpisuje autentikacijske odgovore što je u konkretnom slučaju 16.06.2022.

Zatim je u bloku <IDPSSODescriptor> ... </IDPSSODescriptor> u odjeljku:

<KeyDescriptor use="signing">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>
...
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>

između tagova <ds:X509Certificate> i </ds:X509Certificate> umjesto postojećeg potrebno ubaciti certifikat koji se nalazi na adresi

https://fed-lab.aaiedu.hr/shib/module.php/saml/idp/certs.php/idp.crt

Napomena: Prilikom kopiranja sadržaja certifikata NE SMIJE se iskopirati prva (BEGIN CERTIFICATE) i zadnja (END CERTIFICATE) linija, nego samo ono što se nalazi između njih.

Također, pri samom kraju bloka <IDPSSODescriptor> ... </IDPSSODescriptor> potrebno je navesti adresu AssertionConsumer servisa:

<SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest" Location="https://fed-lab.aaiedu.hr/shib/saml2/idp/SSOService.php"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://fed-lab.aaiedu.hr/shib/saml2/idp/SSOService.php"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://fed-lab.aaiedu.hr/shib/saml2/idp/SSOService.php"/>

Time su završene sve potrebne izmjene u datoteci metadata.xml.

U datoteci shibboleth2.xml u bloku <SessionInitiator type="Chaining" ... > </SessionInitiator> postojeću vrijednost parametra entityID treba zamijeniti sljedećom vrijednošću:

entityID="https://fed-lab.aaiedu.hr/shib/saml2/idp/metadata.php"

Na kraju, da bi se učitala nova konfiguracija potrebno je restartati Shibboleth servis.














  • No labels