Pro správce

Tento návod je určen pro správce služeb (webových stránek) a serverů, kteří chtějí, aby se jejich uživatelé přihlašovali přes id.vse.cz.

Nastavení aplikace

Pro základní řízení přístupu nastavíme v souboru .htaccess nebo v definici virtuálhostu:

AuthType shibboleth
ShibRequireSession On
Require valid-user

Apache a SP se pak postará o přesměrování uživatelů na IdP, odkud jsou po úspěšném přihlášení přesměrováni zpět na původní stránku. Informaci o autentizovaném uživateli jsou pro aplikaci přístupné jako proměnné prostředí.

Často je potřeba zpřístupnit stránky jak přihlášeným, tak i nepřihlášeným uživatelům – s tím, že přihlášení mají dostupné některé funkce navíc. Zároveň můžeme chtít řídit relace (session) na úrovni aplikace a nastavit jim např. větší trvanlivost (aby se uživatel nemusel ani při delší neaktivitě znovu přihlašovat).

V takovém případě budeme Shibbolethem chránit jen malou část aplikace – skript/servlet, který načte informace o uživateli a uloží je do proměnných relace na úrovni aplikace.

O dostupnosti Shibbolethu a dalším postupu se poraďte se správcem serveru, na kterém vaše aplikace běží.

Nastavení serveru

V systémech na bázi Debianu si nainstalujeme balíčky:

shibboleth-sp2-schemas libshibsp-dev libshibsp-doc libapache2-mod-shib2 opensaml2-tools

A vygenerujeme si pár klíčů, které bude náš SP používat pro komunikaci s IdP:

$ cd /etc/shibboleth/
$ shib-keygen
…
$ ll sp-*
-rw------- 1 _shibd _shibd 1094 2012-01-11 00:06 sp-cert.pem
-rw------- 1 _shibd _shibd 1708 2012-01-11 00:06 sp-key.pem

Povolíme modul Apache a restartujeme:

$ a2enmod shib2
$ service apache2 restart

Následně je potřeba upravit konfiguraci /etc/shibboleth/shibboleth2.xml, kde mj. nastavíme entityID našeho IdP:

<SSO entityID="https://id.vse.cz/idp/shibboleth">
SAML2 SAML1
</SSO>

A cestu k jeho metadatům:

<MetadataProvider type="XML" file="metadata/id.vse.cz.xml"/>

Ta získáte od správců id.vse.cz. Poté je potřeba dohodnout, které atributy (informace o uživatelích) se budou předávat od IdP k SP. A nakonec přidat metadata nového SP do IdP.

Další informace

Kontakt na správce a podpora

O systém id.vse.cz se stará

Pokud něco nefunguje, jak by mělo, nebo máte dotaz k tomuto systému, pište na adresu id@vse.cz. Jestliže se váš dotaz netýká přímo systému id.vse.cz, použijte prosím Helpdesk VC.