1 / 17

Shibboleth 2 uudet ominaisuudet & päivän käytännöt

Shibboleth 2 uudet ominaisuudet & päivän käytännöt . Haka koulutus 15.-16.10.2008. Pohjustus. Ongelmia Pitäisi Shibbolethia ruveta käyttämään, mutta miten tästä oikein saa otetta Minkä dokumentin luen, jotta pääsen eteenpäin. Kurssin sisältö. Tavoitteet

adam-monroe
Download Presentation

Shibboleth 2 uudet ominaisuudet & päivän käytännöt

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Shibboleth 2 uudet ominaisuudet & päivän käytännöt Haka koulutus 15.-16.10.2008

  2. Pohjustus • Ongelmia • Pitäisi Shibbolethia ruveta käyttämään, mutta miten tästä oikein saa otetta • Minkä dokumentin luen, jotta pääsen eteenpäin

  3. Kurssin sisältö • Tavoitteet • Muodostaa käsitys miten eri osat liittyvät toisiinsa • Tutustua terminologiaan ja konfiguraatioon • Luoda pohja itsenäiselle asennukselle • Kurssin ulkopuolelle jäävät • Asentaminen/kääntäminen muille alustoille • Sovellusten liimaaminen Shibbolethin päälle

  4. Aikataulu 15.10.2008 • 9.00 Shibboleth & SAML perusteet • 9.45 Kahvi • 10.00 Shibboleth 2 uudet ominaisuudet • 11.00 Service Provider asennus/päivitys • 12.00 Lounas • 12.45 Service Provider asennus/päivitys • 14.30 Kahvi • 15.00 Palveluiden rekisteröinti Hakaan • 15.15 Hakan päivitys kohti SAML2:ta • 15.45 Palveluiden valvonta AAIEyen avulla

  5. Aikataulu 16.10.2008 • 9.30 Kahvi • 10.00 Shibboleth 2 uudet ominaisuudet • 11.00 Identity Provider asennus/päivitys • 12.00 Lounas • 12.45 Identity Provider asennus/päivitys • 14.30 Kahvi • 15.00 Palveluiden rekisteröinti Hakaan • 15.15 Hakan päivitys kohti SAML2:ta • 15.45 Identity Providerin valvonta AAIEyen avulla

  6. Yleiset vihjeet • Lue logeja • Shibboleth tekee hyviä logeja (min. DEBUG-tila), joissa lähes kaikki ongelmat on selkeästi ilmoitettu • Lue Shibboleth Wikiä • Nykypäivänä kaikki tarvittavat ominaisuudet on dokumentoitu Wikiin • Oikean tiedon löytäminen on voi olla haastavampaa • Ole huolellinen • Yksi minimaalinen virhe XML:ssa voi sotkea kaiken • haka@csc.fi auttaa • Kaikista asioista voi kysyä • Käytä prosessiosoitetta, se tavoittaa kaikki CSC:llä, jotka jotain Hakasta tietävät

  7. Shibboleth 2 • Julkaistu maaliskuussa 2008 • Yhteensopiva Shibboleth 1.3:n kanssa • Yhteensopiva muiden toimittajien SAML2 Identity ja Service Provider –ohjelmistojen kanssa • SAML2: http://www.oasis-open.org/specs/#samlv2.0

  8. Uudet ominaisuudet • SAML2 yhteensopiva • Oletuksena Shib2 IdP <-> Shib2 SP liikenteessä • Käytettävä protokolla päätellään metadatasta • Single Logout –tuki (SP:ssa nyt, IdP:ssä tulevissa versioissa) • Oletus viestinvaihto (Shib2 IdP <-> Shib2 SP) muuttunut • Autentikointiassertio ja attribuutit yhdessä paketissa käyttäjän selaimessa POST:lla IdP:stä SP:lle • Kryptataan ja allekirjoitetaan metadatassa olevien varmenteiden avulla • Vähemmän varmenne- ja palomuurisäätöä • Käyttäjälle nopeampaa

  9. SAML2 viestinvaihto

  10. Shibboleth 1.3 viestinvaihto

  11. SAML2 viestinvaihto

  12. Käytettävän protokollan valinta • SP tietää metadatoissaan mihin sen tuntemat IdP:t kykenevät • SP:ssa SessionInitiator-asetuksella muokataan millä tavalla halutaan autentikointipyyntö lähettää

  13. Uudet ominaisuudet • Metadatan päivittäminen verkosta • Tarkistetaan määritetyin aikavälein mahdollinen uusi versio verkosta • Tarkistetaan metadata sen XML-allekirjoituksen avulla • Monet konfiguraatiot jaettu useaan osaa • Testaukseen sopivat varmenteet luodaan automaattisesti asennuksen yhteydessä • Uusi oletusprotokolla

  14. IdP • Ei tarvetta Apachelle Tomcatin edessä • Sisäänrakennettu käyttäjätunnistus • LDAP, IP-osoite, Kerberos • Shibboleth 1.3:n mukainen REMOTE_USER edelleen mukana • Mahdollisuus käyttää useita attribuuttien luovutussääntöjä (ent. ARP) • Esim. omat tiedostot Hakalle ja omille sisäisille palveluille • Attribuuttien luovutuksessa uusia sääntöjä mahdollista tehdä • Attribuuttien nimet: urn -> oid

  15. Attribuuttien nimet • Nimet • SAML2 attribuutit: OID • Shibboleth 1.3: URN • IdP • Jokaisessa attribuuttimäärittelyssä tarvitaan kaksi encoder-asetusta (attribute-resolver.xml) • Käytettävä nimi päätellään käytetystä protokollasta • SP • Jokaisesta attribuutista tarvitaan kaksi nimeä (attribute-map.xml)

  16. SP • SP tekee itsestään metadatan • Erilliset attribuuttien hyväksyntä ja nimeämiskonfiguraatiot • Attribuutit oletuksena ympäristömuuttujissa HTTP-headerin sijaan • Voi konfiguroida entisen kaltaiseksi

  17. Päivittäminen • IdP • Konfiguraatiot muuttuneet niin paljon että parasta asentaan uusiksi • SP • Asennuksen pitäisi muuttaa vanhat konfiguraatiot uuden mukaisiksi • Tuotannossa kannattanee varautua kuitenkin tekemään uusiksi • Attribuutit voivat olla 20:ssa joko http headerissa tai ympäristomuuttujissa

More Related