...
Listan på IdP:er/organisationer på wayf.swami.se eller ds.swamid.se utgörs av de organisationer som gått med i testfasen av SWAMIDs shibboleth-federation. För att få delta krävs dels att organisationen uttryckt att man ämnar gå med i SWAMID och dels krävs att man skickar information om sin IdP till operations@swamid.se. Inkludera namnet på IdP:n (tex https://idp.example.com/identity
) samt det certifikat som används för att skydda attribut-release, vanligen specat i idp.xml.
...
Nej. Shibboleth kan fungera som SSO-lösning inom en organisation helt enkelt genom att man sätter upp en intern federation. Det finns verktyg på https://spaceswiki.internet2shibboleth.edunet/confluence/display/SHIB/Contributions som underlättar arbetet med att sätta upp en lokal federation. Om man har en existerande SSO-lösning (tex CAS) så duger den gott som inloggnings-bakända för shibboleth.
Vad är det för skillnad mellan SAML, OAuth och OpenID?
SAML - protokollet som bär information om användare och attribut inom en federation.
OAuth - ett protokoll för delegering av behörigheter mellan applikationer.
OpenID - Används för att autenticera slutanvändare, dvs kan ses som en "personlig" IdP.
Hur sätter jag upp en intern federation?
...
Välj till någon av demotjänsterna, förslagsvis https://sp.swamid.se eller https://sp-test.swamid.se. Om allt fungerar så ska du åtminstone se din identitet i eppn-fältet. Beroende på vilka attribut som din IdP släpper ut så ser du även andra fält.
...
Scope är ett shibboleth-begrepp som betyder 'administrativ domän'. Vissa attribut som skickas från en IdP till en SP har ett scope som anger vilken domän/organisation som utfärdat värdet. Ett exempel på användningen av scope är attributet eduPersonPrincipalName som ofta mappas till användaridentiteter i IdP:n. För att det inte ska bli kollision mellan identiteter mellan olika organisationer används scoping. I SAML representeras scope som ett attribut på <AttributeValue/>-element men scope visas ofta med @-notation som tex nissehult@example.com - där example.com är scope. I detta exempel är nissehult användarnamnet på en användare från en IdP som har scope example.com (kanske heter idp:n https://idp.example.com/identity men det är långt ifrån säkert).
...
Detta styrs genom sk "attribute release policy". I default-installationen av shibboleth 1.x finns det i filen idp.xml ett <ReleasePolicyEngine>-element som innehåller konfiguration av en fil-baserad attribute-policy-motor. Denna använder xml-filer som lagras på IdP:n. Filen site.arp.xml innehåller inställningar som gäller för alla användare. Dessutom kan man ha filer för individuella användare. I normalfallet så är det SP:n och IdP:n som kommer överens om vilka attribut som ska skickas men det kan vara intressant att låta användaren få kontroll över vissa detaljer. Vill man låta sin användare få kontroll över attributen finns det verktyg på https://spaces.internet2.edu/display/SHIB/Contributions som kan vara intressanta.
...
Tjänsten wayf.swamid.se är Shibboleth 1-baserad idag som initierar en SAML1-inloggning. För att attribut-release ska fungera krävs att din IdP stödjer SOAP-baserad attribut-release. Läs mer här: https://spaces.internet2.edu/display/SHIB2/IdPApacheTomcatPrepare. Testa detta genom att gå till https://sp-test.swamid.se och gör en inloggning via dels "swamid" och dels via "swamid ny DS". Om du får attribut via den andra inloggningen men inte via den första så är det med stor sannolikhet fel på din IdPs SOAP-baserade attribute-authority (normalt på port 8443).
...
Kalmar Unionen är en samverkan mellan de nordiska ländernas forsknings-federationer. Där SWAMID ingår SWAMIDi Kalmar Unionen. Via Kalmar Unionen går det att publicera och komma åt tjänster mellan de nordiska länderna.
Varför ska jag bry mig om eduGAIN?
eduGAIN är liknande Kalmar Unionen en samverkan mellan de primärt de Europeiska ländernas forsknings-federationer. SWAMID ingår i eduGAIN.