Tento návod je určen pro správce poskytovatelů služeb, webových stránek nebo aplikací a serverů, kteří chtějí využít testovacího IdP, ať už k otestování nových aplikací před napojením na provozní IdP, nebo k otestování úprav v aplikaci, která již provozní IdP využívá.
Pokud jste koncovým uživatelem, pravděpodobně jste zde skončili náhodou. Doporučujeme vám navštívit uživatelskou sekci systému id.vse.cz
.
id-test.vse.cz
Pokud chcete využívat testovacího IdP, postupujte následujícím způsobem:
id.vse.cz
a vaším cílem je klon dané aplikace využívat k vývoji a testování, včetně testování SSO:applicationId
. Apache konfigurace může vypadat například následovně:
<VirtualHost _default_:443> ... ... <Directory /var/www/*vasesluzba*.vse.cz/aplikace> AuthType shibboleth ShibRequestSetting requireSession 1 require shib-session </Directory> <Directory /var/www/*vasesluzba*.vse.cz/klon_aplikace> AuthType shibboleth ShibRequestSetting applicationId klon_aplikace ShibRequestSetting requireSession 1 require shib-session </Directory> ... </VirtualHost>
shib-keygen -h *jmeno_domeny* -y 10 -e *URI_sluzby*
.
id-test_metadata.xml
.
<ApplicationOverride>
do konfigurace Shibboleth SP (v případě, že se klon aplikace nachází na stejném serveru jako provozní verze, jsou obě aplikace spravovány jedním Shibboleth procesem) v souboru shibboleth2.xml
. Tento element musí obsahovat vše, co nemají aplikace společné. Kromě nutného atributu id
to tak bude entityID
, podřízený element <Sessions>
, který musí obsahovat nové handlerURL
pro klon aplikace a v něm další podřízený element <SSO>
. Dále nesmí chybět element <MetadataProvider>
a <CredentialResolver>
, který musí obsahovat nový pár klíče a certifikátu pro metadata. Výsledek může vypadat například následovně:
</ApplicationDefaults> ... ... <ApplicationOverride id="klon_aplikace" entityID="https://*vase_adresa*.vse.cz/klon_aplikace"> <Sessions lifetime="28800" timeout="3600" relayState="ss:mem" checkAddress="false" handlerSSL="true" cookieProps="https" handlerURL="/klon_aplikace/Shibboleth.sso"> <SSO entityID="https://id-test.vse.cz/idp/shibboleth"> SAML2 </SSO> <Handler type="MetadataGenerator" Location="/Metadata" signing="false" template="metadata-template.xml"/> </Sessions> <MetadataProvider type="XML" validate="true" file="id-test_metadata.xml"> </MetadataProvider> <CredentialResolver type="File" key="sp-key-test.pem" certificate="sp-cert-test.pem"/> </ApplicationOverride> </ApplicationDefaults> </SPConfig>
<RequestedAttribute>
, například v následující podobě:<md:RequestedAttribute FriendlyName="uid" Name="urn:oid:0.9.2342.19200300.100.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>Kompletní vzorová metadata, s korektními žádostmi o všechny podporované atributy lze stáhnout zde. Doporučujeme zkopírovat žádosti o metadata a pouze vymazat ty atributy, které jsou pro Vaši aplikaci zbytečné.
O systém id-test.vse.cz
se stará:
Pokud něco nefunguje, jak by mělo, nebo máte dotaz k tomuto systému, pište na adresu id@vse.cz.
Jestliže se váš dotaz netýká přímo systému id-test.vse.cz
,
použijte prosím Helpdesk CI.