Versions Compared

Old Version 27

changes.mady.by.user Leif Johansson

Saved on

compared with

New Version 28

changes.mady.by.user Leif Johansson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migrated to Confluence 4.0

...

  • Om din applikation är skriven helt i php eller python kan det vara intressant att titta på simpleSAMLphp eller pySAML2. Dessa låter dig integrera en SP direkt i din applikation. Detta kräver dock lite mer erfarenhet och Shibboleth i en Apache fungerar väl även för dessa typer av applikationer.
  • Om din applikation är skriven i java rekommenderar vi att du använder en Apache-server som frontend (via mod_proxy_ajp) och låter Shibboleth i SPn sköta inloggning till din applikation. Läs mer om hur du använder Shibboleth och Apache med Java här.
  • Om din applikation är skriven i .NET och kör i IIS så bör du kunna använda WIF (Windows Identity Foundation). Ett annat alternativ som är väl beprövat och fungerar mycket väl ihop med SWAMID är att använda Shibboleth för IIS. Det finns MSI-paket för 32 och 64-bitars Windows på http://shibboleth.internet2.edu/Image Removed.

Anpassa applikationen

...

  1. Användaren klickar på login-länken som pekar på /Shibboleth.sso/DS/ds.swamid.se?target=https://example.com/alternative-login-viewImage Removed. Denna länk är associerad med en sk SessionInitiator - en länk som startar inloggningen i Shibboleth-modulen i Apache/IIS. Se Discovery Service och WAYF för rekommendation på SessionInitiators för SWAMID. När användaren lyckas logga in via sin IdP i SWAMID skickas han/hon tillbaka till URLen som anges i target-parametern. Denna URL (https://example.com/alternative-login-viewImage Removed) ska vara konfigurerad för Shibboleth i Apache/IIS.
  2. Vyn alternative-login-view i applikationen får nu tillgång till de attribut som är tillgängliga från inloggningen. Dessa attribut (tex namn, epost) kan nu användas för att skapa en ny användare i applikationens interna användardatabas (tänk på att disabla evt interna lösenord) alterntivt uppdatera en existerande användare. I SWAMID kan man nästan alltid utgå att det finns ett permanent "användarnamn" i REMOTE_USER-parametern som kan användas som nyckel i databasen. Dock kan detta värde vara långt och bör inte visas för användaren - använd hellre displayName för personalisering av användarens egna sidor i applikationen. Exakt vilka attribut som finns och hur man kommer överens med IdPer om vilka som ska skickas är en fråga du gärna får ta upp med SWAMID Operations (operations@swamid.se).
  3. Slutligen skapas en session på samma sätt som det normala flödet och användaren skickas vidare till applikationen som vanligt.

...

Börja med att ladda ner signerigs-certifikatet för SWAMID från https://md.swamid.se/md/md-signer.crtImage Removed. Spara det som swamid-signer.crt i /etc/shibboleth (om din SP följer normal katalogstruktur).

...

För att din tjänst ska kunna logga in via IdP:er i SWAMID måste SPs metadata läggas in i http://md.swamid.se/md/swamid-1.0.xmlImage Removed. Detta åstadkommer du genom att skicka ett mail till operations@swamid.se och tala om vad SPn används till, vem som ansvarar för den samt uppge hostnamnet till SPn. Om du ändrar i konfigurationen i din shibboleth2.xml så kan det betyda att metadata i SWAMID måste uppdateras - skicka isåfall ett nytt mail till operations@swamid.se och tala om vilken SP som ska uppdateras. Detta är speciellt viktigt om du byter nycklar eller certifikat.