Versions Compared

Old Version 17

changes.mady.by.user Valter Nordh

Saved on

compared with

New Version 18

changes.mady.by.user Valter Nordh

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Mål: Att ersätta ett CWAA med lärosätets IdP (SAML-teknologi)

Rekommenderad arbetsgång:

inloggning med SWAMID-federationen.

För information: Under Feb 2011 kommer CWAA att avvecklas helt SAMT antagningsdelan av studera.nu kommer att byta namn till antagning.se

Förutsättningar:

1. Lärosätet har en IdP uppsatt som är medlem i SWAMID (Om frågor - kontakta operations snabel-a SWAMID.SE)

2. Som test-miljö används sp.swamid.se, ytterligare testmiljö är under utveckling på VHS.

3. Verifiera att din IdP har tillgång till personnummer kopplat till användarnamn för aktuella studenter enligt format nedan.

Rekommenderad arbetsgång:

  1. Modifiera attribute-resolvern för din IdP så att den inkluderar personnummer enligt nedan beskrivet format (norEduPersonNIN)
  2. Modifiera attribute-release policy för din IdP enligt kod nedan. Syftet är att tillåta ivägskickande av personnummer till VHS SAMT för test sp.swamid.se
  3. Verifiera mot sp.swamid.se att ni ser personnummer och användarnamn
  4. Sätt upp en IdP för test/konfigurering.
  5. Säkerställ att denna IdP har tillgång till användarnamn kopplat till personnummer för aktuella studenter.
  6. Kontakta VHS för att få sin IdP inlagd i VHSs wayf/DS.
  7. Konfigurera IdP enligt nedan för att skicka personnummer till VHS SP såsom attributet norEduPersonNIN.
  8. testmiljö - Christina.Kronblad snabel-a VHS.SE
  9. Verifiera att test fungerar.
  10. Bestäm tillsammans med VHS om ett datum för skarp driftsättning
  11. VerkställTesta.

Följande filer behöver editeras: (OBS, Shibboleth-specifikt) behöver editeras:, Simple-SAMLphp kommer senare)

Modifiera filen attribute-resolver.xml enligt:

Koden nedan förutsätter att personnumret ligger lagrat i din katalog (LDAP) med attributet 

Wiki Markup
norEduPersonNIN enligt skatteverkets rekommendation, för mer info se \[norEduPersonNIN och Svenska Personnummer\].

Code Block
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN">
   <resolver:Dependency ref="myLDAP" />
   <resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName>
   <resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName>
</resolver:AttributeDefinition>

...

SWAMID rekommenderar att man följer denna princip för personnummer som skickas via attributet norEduPersonNIN, dvs att personnummer representeras som 12 siffror utan bindestreck eller mellanslag.

Modifiera filen attribute-filter.xml enligt:

Alt 1: (hämta maskiner från en xml-fil) (OBS, certifikaten skall matchas)

Code Block

<AttributeFilterPolicy>
   <PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="http://md.swamid.se/md/nya-1.0-testing.xml" />
   <AttributeRule attributeID="norEduPersonNIN">
      <PermitValueRule xsi:type="basic:ANY" />
   </AttributeRule>
</AttributeFilterPolicy>

From Feb 2011 kommer VHS byta namn på sin SP. PGA detta lägger vi redan nu med båda namnen för att säkerställa en enkel övergång (Från https://www.studera.nu/shibboleth-spImage Added till https://www.antagning.se/shibboleth-spImage Added)

sp.swamid.se ligger med ENDAST i test-syfte och KAN tas bort efter att tester och verifiering är klara.

VHS testmiljö kommer att kompletteras nedan av UU. Leif trollar till syntax nedan.

...

Code Block
<AttributeFilterPolicy>
   <PolicyRequirementRule xsi:type="basic:AttributeRequesterString"  value="https://VHS-SP-NYTT-NAMNwww.studera.nu/shibboleth-sp https://www.antagning.se/shibboleth-sp sp.swamid.se" />
   <AttributeRule  attributeID="norEduPersonNIN">
      <PermitValueRule xsi:type="basic:ANY" />
   </AttributeRule>
</AttributeFilterPolicy>

Modifiera relying-party.xml:

Info

Detta kommer evt inte behövas i framtiden om VHS lägger in sina IdP:er i SWAMID.

Code Block

<MetadataProvider id="URLMD" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL="http://md.swamid.se/md/nya-1.0-testing.xml"
backingFile="/opt/shibboleth-idp/metadata/nya-1.0-testing.xml">
   <MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
      <MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="swamid-metadata-signer" requireSignedMetadata="true" />
   </MetadataFilter>
</MetadataProvider>

Utestående frågor:

Utestående frågor:

  • Skall VHS SP vara med i SWAMID? - Vi utgår från att VHS SP är med i SWAMID.
  • Vad skall VHS SP heta?  https://www.studera.nu/shibboleth-spImage Added och https://www.antagning.se/shibboleth-spImage Added
  • Skall VHS SP vara med i SWAMID?
  • Vad skall VHS SP heta?
  • Skall denna SP använda en egen DS/WAYF eller falla tillbaka på wayf.swamid.se? Swami rekommenderar att - VHS har en egen DS/wayf av två skäl:
  • Filtrera vilka lärosäten som syns i "listan"
  • Kan styra den egna grafiska layoutendropdown-lista som under hösten klarar både CWAA och SAML