Versions Compared

Old Version 15

changes.mady.by.user Leif Johansson

Saved on

compared with

New Version Current

changes.mady.by.user Valter Nordh

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migrated to Confluence 5.3
Info

Mål: Teknisk dokumentation hur ett lärosäte gör för att ersätta ett CWAA-inloggningen med SWAMID-federationen på studera.nu.
För frågor kring dokumentationen nedan kontakta operations snabel-a SWAMID.SE

Info

För information: Från och med den 15 februari 2011 går det inte längre använda CWAA för inloggning på Studera.nu.

Info

Antagningsdelen av studera.nu kommer att byta namn till antagning.se. Detta är planerat att genomföras i september 2011.

 

Förutsättningar

  1. Lärosätet har en IdP uppsatt som är medlem i SWAMID (Om frågor - kontakta operations snabel-a SWAMID.SE).
  2. Attribut skickas till samtliga SP i Swamid enligt wikisidan SWAMID HowTo (Shibboleth 2.x).
  3. Verifiera att din IdP har tillgång till personnummer kopplat till användarnamn för aktuella studenter enligt wikisidan norEduPersonNIN och Svenska Personnummer.
  4. VHS SP är medlem i SWAMID med (namnen) https://www.studera.nu/shibboleth-sp och https://www.antagning.se/shibboleth-sp (samt test-miljöerna på https://www.studera.testa.antagning.se/aws-sp och https://www.studera.testb.antagning.se/shibboleth-sp).
  5. VHS har en dropdown-lista (på studera.nu - inloggning högskola) som under hösten klarar ANTINGEN CWAA eller SAML, dock EJ båda samtidigt.

Rekommenderad arbetsgång

  1. Modifiera attribute-resolvern för din IdP så att den inkluderar personnummer enligt nedan beskrivet format (norEduPersonNIN (nepn))
  2. Modifiera attribute-release policy för din IdP enligt kod nedan. Syftet är att tillåta ivägskickande av personnummer till VHS SAMT för test sp.swamid.se
  3. Verifiera mot sp.swamid.se att ni ser personnummer och användarnamn.
  4. Kontakta VHS för att få sin IdP inlagd i VHSs testmiljö - appldrift_saml snabel-a VHS.SE.
  5. Verifiera att test fungerar via aktuell inloggningslänk som VHS tillhandahåller.
  6. Bestäm tillsammans med VHS om ett datum för skarp driftsättning
  7. Genomför den skarpa driftsättningen.

Konfiguration för Shibboleth

Info

Konfigurationerna under detta avsnitt fungerar endast för Shibboleth 2 eller senare. För simpleSAMLphp och ADFS2 kan konfigurationsexemplen endast användas som inspiration.

Modifiera filen attribute-resolver.xml:

Personnummer överförs från din IdP till VHS anstagningssystem med attributet norEduPersonNIN. Konfigurationen för norEduPersonNIN i attribute-resolver.xml finns på sidan Attributdefinitioner norEdu-familjen. Konfigurationen förutsätter att personnummer finns lagrat i din katalog (LDAP) med attributet norEduPersonNIN enligt skatteverkets rekommendation, för mer info se norEduPersonNIN och Svenska Personnummer.

Modifiera filen attribute-filter.xml:

Från september 2011 kommer VHS byta namn på sin SP. Beroende på detta lägger vi redan nu med båda namnen för att säkerställa en enkel övergång från https://www.studera.nu till https://www.antagning.se. Notera att https://sp.swamid.se/shibboleth, https://www.studera.testa.antagning.se/aws-sp samt https://www.studera.testb.antagning.se/shibboleth-sp ligger med i test-syfte och KAN tas bort efter att tester och verifiering är klara.

Code Block

<AttributeFilterPolicy id="releaseNorEduPersonNIN">
   <PolicyRequirementRule
Warning

Instruktionerna nedan är EJ färdiga utan är under utveckling. VHS kommer att driftsätta tjänsten den 13 september 2010, innan dess går det inte att få generell tillgång till tjänsten.

Mål: Att ersätta ett CWAA med lärosätets IdP (SAML-teknologi)

Rekommenderad arbetsgång:

  1. Sätt upp en IdP för test/konfigurering (om man inte har en, endast Dalarna samt Chalmers har ingen IdP idag).
  2. Säkerställ att denna IdP har tillgång till användarnamn kopplat till personnummer för aktuella studenter.
  3. Kontakta VHS för att få sin IdP inlagd i VHSs wayf/DS.
  4. Konfigurera IdP enligt nedan för att skicka personnummer till VHS SP såsom attributet norEduPersonNIN.
  5. Testa.

Följande filer (OBS, Shibboleth-specifikt) behöver editeras:

Modifiera attribute-resolver.xml enligt:

Code Block

<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN"> 
   <resolver:Dependency ref="myLDAP" />
   <resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName>
   <resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName>
</resolver:AttributeDefinition>

Skatteverket publicerar en skrift SKV 704 (upplaga 8 är senaste i skrivande stund) som beskriver hur personnummret är uppbyggt. I avsnittet "Personnummer i ADB-system" står följande:

Personnummer i ADB-system
Inom Skatteverkets ADB-system för folkbokföring lagras personnumret med tolv siffror, där de två inledande siffrorna anger under vilket århundrade en person är född. Siffran för århundrade kan vara 18, 19 eller – efter millennieskiftet – 20. Siffran visas normalt inte på terminalbilder eller utskrifter men ingår i aviseringen av folkbokföringsuppgifter till andra myndigheter via Navet, Skatteverkets system för distribution av folkbokföringsuppgifter till samhället.

SWAMID rekommenderar att man följer denna princip för personnummer som skickas via attributet norEduPersonNIN, dvs att personnummer representeras som 12 siffror utan bindestreck eller mellanslag.

Modifiera attribute-filter.xml enligt:

Alt 1: (hämta maskiner från en xml-fil) (OBS, certifikaten skall matchas)

Code Block

<AttributeFilterPolicy>
   <PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="http://md.swamid.se/md/nya-1.0-testing.xml" />
   <AttributeRule attributeID="norEduPersonNIN">
      <PermitValueRule xsi:type="basic:ANYOR" />
   </AttributeRule>
</AttributeFilterPolicy>

Alt 2: (Peka på ett antal specifika maskiner med specifika namn)

Code Block

<AttributeFilterPolicy>
   <PolicyRequirementRule<basic:Rule xsi:type="basic:AttributeRequesterString"  value="https://VHS-SP-NYTT-NAMNwww.studera.nu/shibboleth-sp" />
      <AttributeRule<basic:Rule xsi:type="basic:AttributeRequesterString"  attributeIDvalue="norEduPersonNIN"https://www.antagning.se/shibboleth-sp" />
      <PermitValueRule<basic:Rule xsi:type="basic:ANYAttributeRequesterString"  value="https://www.studera.testa.antagning.se/aws-sp" />
   </AttributeRule>
</AttributeFilterPolicy>

Modifiera relying-party.xml:

Info

Detta kommer evt inte behövas i framtiden om VHS lägger in sina IdP:er i SWAMID.

Code Block

<MetadataProvider id="URLMD"    <basic:Rule xsi:type="FileBackedHTTPMetadataProviderbasic:AttributeRequesterString" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL value="httphttps://mdwww.swamid.se/md/nya-1.0-testing.xml"
backingFile="/opt/shibboleth-idp/metadata/nya-1.0-testing.xml">
   <MetadataFilterstudera.testb.antagning.se/shibboleth-sp" />
      <basic:Rule xsi:type="ChainingFilterbasic:AttributeRequesterString" xmlns value="urn:mace:shibboleth:2.0:metadata">
 https://sp.swamid.se/shibboleth" />
   </PolicyRequirementRule>
    <AttributeRule <MetadataFilter xsi:typeattributeID="SignatureValidationnorEduPersonNIN" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="swamid-metadata-signer" requireSignedMetadata="true>
      <PermitValueRule xsi:type="basic:ANY" />
   </MetadataFilter>AttributeRule>
</MetadataProvider>

...

AttributeFilterPolicy>