...
| Warning |
|---|
Instruktionerna nedan är EJ färdiga utan är under utveckling. |
...
VHS kommer att driftsätta tjänsten den 13 september 2010, innan dess går det inte att få generell tillgång till tjänsten. |
...
Mål: Att ersätta ett CWAA med lärosätets IdP (SAML-teknologi)
Rekommenderad arbetsgång:
- Sätt upp en IdP för test/konfigurering (om man inte har en, endast Dalarna samt Chalmers har ingen IdP idag).
- Säkerställ att denna IdP har tillgång till användarnamn kopplat till personnummer för aktuella studenter.
- Kontakta VHS för att få sin IdP inlagd i VHSs wayf/DS.
- Konfigurera IdP enligt nedan för att skicka personnummer till VHS SP såsom attributet norEduPersonNIN.
- Testa.
Följande filer (OBS, Shibboleth-specifikt) skall behöver editeras:
Modifiera attribute-resolver.xml enligt:
| Code Block |
|---|
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN"> <resolver:Dependency ref="myLDAP" /> <resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName> <resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName> </resolver:AttributeDefinition> |
SWAMIDs rekommendation kring format på personnummer:
Skatteverket publicerar en skrift SKV 704 (upplaga 8 är senaste i skrivande stund) som beskriver hur personnummret är uppbyggt. I avsnittet "Personnummer i ADB-system" står följande:
...
SWAMID rekommenderar att man följer denna princip för personnummer som skickas via attributet norEduPersonNIN, dvs att personnummer representeras som 12 siffror utan bindestreck eller mellanslag.
Modifiera attribute-filter.xml enligt:
Alt 1: (hämta maskiner från en xml-fil) (OBS, certifikaten skall matchas)
| Code Block |
|---|
<AttributeFilterPolicy>
<PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="http://md.swamid.se/md/nya-1.0-testing.xml" />
<AttributeRule attributeID="norEduPersonNIN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>
|
Alt 2: (Peka på ett antal specifika maskiner med specifika namn)
| Code Block |
|---|
<AttributeFilterPolicy>
<PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://VHS-SP-NYTT-NAMN.studera.nu/shibboleth" />
<AttributeRule attributeID="norEduPersonNIN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>
|
Modifiera relying-party.xml
...
:
| Info |
|---|
Detta kommer evt inte behövas i framtiden om VHS |
...
lägger in sina IdP:er i SWAMID |
...
. |
| Code Block |
|---|
<MetadataProvider id="URLMD" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL="http://md.swamid.se/md/nya-1.0-testing.xml"
backingFile="/opt/shibboleth-idp/metadata/nya-1.0-testing.xml">
<MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
<MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="swamid-metadata-signer" requireSignedMetadata="true" />
</MetadataFilter>
</MetadataProvider>
|
...