You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 7 Next »

Detta är en guide för hur man sätter upp sk pseudonya identifierare för Shibboleth IdP:n. Instruktionerna är baserade på en Ubuntu eller debian-baserad Linux men motsvarande bör funka även på andra unix-varianter och Windows. Instruktionerna är baserade på https://www.switch.ch/aai/docs/shibboleth/SWITCH/2.1/idp/install-idp-2.1-debian.html#shibboleth-idp och https://spaces.internet2.edu/display/SHIB2/IdPPersistentNameIdentifier.

En pseudonym identifierare är en permanent, anonym identifierare som är unik för en kombination av IdP, SP och användare. En sådan identfierare kan inte användas för att korrelera information mellan SPer och innehåller heller inte någon persondata. En pseudonym identifierare är oftast lämplig att lämna ut till alla SPer.

SWAMID rekommenderar att alla IdPer lämnar ut pseudonymer som SAML 2.0 NameID samt som attribut av typen eduPersonTargetedID till alla SPer.

Välj strategi

Det finns två sätt att skapa pseudonyma identiferare: antingen genom att beräkna en hash-funktion över ett antal ingångsvärden (bla användarens lokala användarnamn, SPns entityID och en unik nyckel) eller genom att lagra en UUID i en databas. Båda alternativen har för och nackdelar:

  • Beräknade identifierare
    • är mycket enkla att komma igång med.
    • kan inte hantera att en SP byter entityID eller att en användare byter uid
  • Lagrade identifiera
    • kräver en databas på IdPn
    • stödjer revokering av identifierare
    • kan hantera att en SP byter entityID eller att en användare byter uid

Det finns vissa möjligheter att börja med en beräknad identifierare och sedan migrera till en lagrad men det mest framtidssäkra är att börja med en lagrad identifierare direkt.

  • No labels