Instruktionerna nedan är EJ färdiga utan är under utveckling. VHS kommer att driftsätta tjänsten den 13 september 2010, innan dess går det inte att få generell tillgång till tjänsten.
Mål: Att ersätta ett CWAA med lärosätets IdP (SAML-teknologi)
Rekommenderad arbetsgång:
- Sätt upp en IdP för test/konfigurering (om man inte har en, endast Dalarna samt Chalmers har ingen IdP idag).
- Säkerställ att denna IdP har tillgång till användarnamn kopplat till personnummer för aktuella studenter.
- Kontakta VHS för att få sin IdP inlagd i VHSs wayf/DS.
- Konfigurera IdP enligt nedan för att skicka personnummer till VHS SP såsom attributet norEduPersonNIN.
- Testa.
Följande filer (OBS, Shibboleth-specifikt) behöver editeras:
Modifiera attribute-resolver.xml enligt:
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN"> <resolver:Dependency ref="myLDAP" /> <resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName> <resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName> </resolver:AttributeDefinition>
Skatteverket publicerar en skrift SKV 704 (upplaga 8 är senaste i skrivande stund) som beskriver hur personnummret är uppbyggt. I avsnittet "Personnummer i ADB-system" står följande:
Personnummer i ADB-system
Inom Skatteverkets ADB-system för folkbokföring
lagras personnumret med tolv siffror, där de två in-
ledande siffrorna anger under vilket århundrade en
person är född. Siffran för århundrade kan vara 18, 19
eller – efter millennieskiftet – 20.
Siffran visas normalt inte på terminalbilder eller
utskrifter men ingår i aviseringen av folkbokförings-
uppgifter till andra myndigheter via Navet, Skatte-
verkets system för distribution av folkbokföringsupp-
gifter till samhället.
SWAMID rekommenderar att man följer denna princip för personnummer som skickas via attributet norEduPersonNIN, dvs att personnummer representeras som 12 siffror utan bindestreck eller mellanslag.
Modifiera attribute-filter.xml enligt:
Alt 1: (hämta maskiner från en xml-fil) (OBS, certifikaten skall matchas)
<AttributeFilterPolicy>
<PolicyRequirementRule xsi:type="saml:AttributeRequesterInEntityGroup" groupID="http://md.swamid.se/md/nya-1.0-testing.xml" />
<AttributeRule attributeID="norEduPersonNIN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Alt 2: (Peka på ett antal specifika maskiner med specifika namn)
<AttributeFilterPolicy>
<PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://VHS-SP-NYTT-NAMN.studera.nu/shibboleth" />
<AttributeRule attributeID="norEduPersonNIN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Modifiera relying-party.xml:
Detta kommer evt inte behövas i framtiden om VHS lägger in sina IdP:er i SWAMID.
<MetadataProvider id="URLMD" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL="http://md.swamid.se/md/nya-1.0-testing.xml"
backingFile="/opt/shibboleth-idp/metadata/nya-1.0-testing.xml">
<MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
<MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="swamid-metadata-signer" requireSignedMetadata="true" />
</MetadataFilter>
</MetadataProvider>
Utestående frågor:
Skall VHS SP vara med i SWAMID?
Vad skall VHS SP heta?
Skall denna SP använda en egen DS/WAYF eller falla tillbaka på wayf.swamid.se?
Swami rekommenderar att VHS har en egen DS/wayf av två skäl:
Filtrera vilka lärosäten som syns i "listan"
Kan styra den egna grafiska layouten