Mål: Teknisk dokumentation hur ett lärosäte gör för att ersätta ett CWAA-inloggningen med SWAMID-federationen på studera.nu.
För frågor kring dokumentationen nedan kontakta operations snabel-a SWAMID.SE
För information: Feb 2011 kommer CWAA att avvecklas helt SAMT antagningsdelen av studera.nu kommer att byta namn till antagning.se.
Denna sida är ännu inte klar och går därför inte använda som mall för att korrekt konfigurera en Shibboleth IdP för release av personnummer till NyA.
Förutsättningar:
- Lärosätet har en IdP uppsatt som är medlem i SWAMID (Om frågor - kontakta operations snabel-a SWAMID.SE)
- Som test-miljö används sp.swamid.se, ytterligare testmiljö är under utveckling på VHS.
- Verifiera att din IdP har tillgång till personnummer kopplat till användarnamn för aktuella studenter enligt format nedan.
- VHS SP är medlem i SWAMID med (namnen) https://www.studera.nu/shibboleth-sp och https://www.antagning.se/shibboleth-sp (samt test-miljöerna på https://www.studera.testa.antagning.se/shibboleth-sp och https://www.studera.testb.antagning.se/shibboleth-sp).
- VHS har en dropdown-lista (på studera.nu - inloggning högskola) som under hösten klarar ANTINGEN CWAA eller SAML, dock EJ båda samtidigt.
Rekommenderad arbetsgång:
Konfigurationerna under detta avsnitt fungerar endast för Shibboleth 2 eller senare. För simpleSAMLphp och ADFS2 kan konfigurationsexemplen endast användas som inspiration.
- Modifiera attribute-resolvern för din IdP så att den inkluderar personnummer enligt nedan beskrivet format (
norEduPersonNIN(nepn)) - Modifiera attribute-release policy för din IdP enligt kod nedan. Syftet är att tillåta ivägskickande av personnummer till VHS SAMT för test sp.swamid.se
- Verifiera mot sp.swamid.se att ni ser personnummer och användarnamn.
- Kontakta VHS för att få sin IdP inlagd i VHSs testmiljö - Christina.Kronblad snabel-a VHS.SE
- Verifiera att test fungerar via aktuell inloggningslänk som VHS tillhandahåller.
- Bestäm tillsammans med VHS om ett datum för skarp driftsättning
- Verkställ.
Modifiera filen attribute-resolver.xml enligt:
Koden nedan förutsätter att personnumret ligger lagrat i din katalog (LDAP) med attributet norEduPersonNIN enligt skatteverkets rekommendation, för mer info se norEduPersonNIN och Svenska Personnummer.
<resolver:AttributeDefinition id="norEduPersonNIN" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="norEduPersonNIN"> <resolver:Dependency ref="myLDAP" /> <resolver:DisplayName xml:lang="en">Swedish civic registration number</resolver:DisplayName> <resolver:DisplayName xml:lang="sv">Personnummer</resolver:DisplayName> </resolver:AttributeDefinition>
Modifiera filen attribute-filter.xml enligt:
Från Feb 2011 kommer VHS byta namn på sin SP. PGA detta lägger vi redan nu med båda namnen för att säkerställa en enkel övergång från https://www.studera.nu till https://www.antagning.se. Notera att https://sp.swamid.se/shibboleth, https://www.studera.testa.antagning.se/shibboleth-sp samt https://www.studera.testb.antagning.se/shibboleth-sp ligger med i test-syfte och KAN tas bort efter att tester och verifiering är klara.
<AttributeFilterPolicy id="releaseNorEduPersonNIN>
<PolicyRequirementRule xsi:type="basic:OR">
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.studera.nu/shibboleth-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.antagning.se/shibboleth-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.studera.testa.antagning.se/shibboleth-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://www.studera.testb.antagning.se/shibboleth-sp" />
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://sp.swamid.se/shibboleth" />
</PolicyRequirementRule>
<AttributeRule attributeID="norEduPersonNIN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>