1 / 15

Comprehensive Guide to Shibboleth Authentication Systems Configuration and Management

This guide provides a detailed overview of the installation and configuration of Shibboleth authentication systems. It covers essential components such as authentication sources (LDAP, SQL), existing login systems (e.g., Pubcookie, CAS), and new authentication strategies. Key topics include network configurations, user identification procedures, metadata setup for relying-party services, and attribute management for secure interactions. The document aids in understanding the architectural design and integrations necessary for efficient user authentication within federated environments.

breck
Télécharger la présentation

Comprehensive Guide to Shibboleth Authentication Systems Configuration and Management

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ennen asentamista • Autentikointilähde • LDAP, SQL-tietokanta… • Autentikointimetodi • Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) • Uusi autentikointijärjestelmä (yllämainitut, Tomcat forms…) • Shibbolethin oma (LDAP) • Attribuuttivarasto • LDAP, SQL-tietokanta… • Mitä attribuutteja löytyy ja täyttyykö tarve

  2. Asentaminen • Ensin sovelluspalvelin toimintaan • Esim. Tomcat + Java • Apachen voi laittaa Tomcatin eteen halutessaan

  3. Verkkoyhteydet • IdP:ssä kaksi palvelua ulospäin • Käyttäjille tunnistautumista varten • SP-palvelimille joitakin profiileja varten • 443 auki maailmalle • 8443 voi sallia SP-kohtaisesti • Into ylläpitää acl:ia loppu todennäköisesti varsin pian • Palvelut voivat olla myös samassa portissa käytettäessä Apachea sopivalla konfiguraatiolla

  4. Osat • Käyttäjät käyvät portissa 443 • Käyttäjät tulevat selaimilla • Normaali-https • 8443-porttin varmenneautentikaatio • SP-palvelimet mm. hakevat attribuutteja tietyissä tilanteissa • Palvelimet tunnistavat toisensa varmenteiden avulla

  5. Konfiguraatiot • relying-party.xml • Yleiset asetukset mm. miten keskustellaan eri SP:den kanssa • handler.xml • Tuetut viestinvaihto- ja autentikointimekanismit • logging.xml • Logien asetukset • attribute-filter.xml • Mitä attribuutteja luovutetaan millekin SP:lle • attribute-resolver.xml • Attribuuttien haun ja luonnin asetukset

  6. Konfiguraatiot joita ei yleensä tarvitse • service.xml • internal.xml

  7. Metadata • Kertoo IdP:lle minkä SP:in kanssa se voi keskustella • Voi olla useita, joiden yhdistelmästä muodostuu kokonaisuus • Paikallisella levyllä tai haetaan verkosta • Oikeellisuus voidaan tarkistaa allekirjoituksen avulla • Varmenteet • Shib 1.3:n aikana ainoastaan palvelinten nimet ja CA:n varmenne, joiden avulla yhteydet luotiin • SAML2 kaikkien palveluiden varmenteet, jotta voidaan allekirjoittaa ja kryptata viestit

  8. Relying-party • Joukko entityjä, joita käsitellään samalla tavalla • IdP:ssä voi olla esim. kolme relying-partya, joista yksi liittyy Hakaan ja toinen omiin sisäisii palveluihin ja kolmas omiin testipalveluihin • Määrittää autentikointitavan, käytettävät varmenteet/protokollat jne. • Metadatatiedosto määrittää relying-partyn • <EntitiesDescriptor Name="urn:mace:funet.fi:haka"

  9. Käyttäjätunnistus • Shibboleth vaatii käyttäjätunnistamisen • Useita vaihtoehtoja • RemoteUser (siis mikä tahansa autentikointi, joka voidaan liittää IdP:iin ja populoi RemoteUserin • Shib LDAP, Kerberos, IP-osoite • JAAS-moduli

  10. Attribuuttien haku • Jostain ”haetaan” raakadata, josta attribuutteja lähdetään rakentaaman • Computed Id • Static data connector • Stored Id • LDAP • RDBM • Määritellään: attribute-resolver.xml

  11. Attribuuttien määrittely • Kukin attribuutti pitää määrittää • nimi • tyyppi • Määritellään: attribute-resolver.xml • Tyyppejä • Simple • Scoped • Principal name • Script • Mapped • SAML1 nameid • SAML2 nameid • jne

  12. Attribuuttien enkoodaus • Attribuutit enkoodataan tietylle nimelle ja tyypille lähetystä varten • SAML1, SAML2 • String, scoped, Base64, XMLObject • Määritellään: attribute-resolver.xml

  13. Attribuuttien luovutus • Kullekin palvelulle luovutetaan sen tarvitsemat attribuutit • CSC toimittaa Haka-palveluille valmiin tiedoston • attribute-filter.xml

  14. IdP moneen federaatioon • Yksi IdP voi liittyä Hakaan, Virtuun, Kalmarin unioniin, korkeakoulun omiin palveluihin, kumppanien palveluihin, testipalveluihin jne. • Kullekin ryhmälle oma metadata, attribuuttien luovutussäännöt ja konfiguraatiot • Askeleet • Metadatalähteet kaikille • Attribuuttisäännöt

More Related