Pro správce

Tento návod je určen pro správce poskytovatelů služeb, webových stránek nebo aplikací a serverů, kteří chtějí využít testovacího IdP, ať už k otestování nových aplikací před napojením na provozní IdP, nebo k otestování úprav v aplikaci, která již provozní IdP využívá.

Pokud jste koncovým uživatelem, pravděpodobně jste zde skončili náhodou. Doporučujeme vám navštívit uživatelskou sekci systému id.vse.cz.

Doporučený postup zprovoznění jednotného přihlášení vůči id-test.vse.cz

Pokud chcete využívat testovacího IdP, postupujte následujícím způsobem:

• Pokud chcete využít testovacího IdP předtím než se pokusíte zprovoznit přihlašování přes provozní IdP:
1. Nainstalujte SP.
2. Vyberte si atributy, které má testovací IdP uvolnit.
3. Na adrese *vas_server*.vse.cz/aplikace/Shibboleth.sso/Metadata lze při správné konfiguraci stáhnout metadata serveru. Ty si stáhněte a při kontaktování správců testovacího IdP je nezapomeňte vložit do přílohy e-mailu.
4. Dokončete konfiguraci SP, webového serveru, případně vlastní aplikace.
5. Pokračujte bodem 5 následující sekce.
• Pokud vaše služba již využívá provozního IdP systému id.vse.cz a vaším cílem je klon dané aplikace využívat k vývoji a testování, včetně testování SSO:
1. Naklonujte vhodným způsobem svou aplikaci do vybraného umístění a upravte nastavení webového serveru tak, aby klon aplikace vyžadoval ověření shibboleth. V případě Apache je důležité přidělit klonu aplikace atribut applicationId. Apache konfigurace může vypadat například následovně:

   	<VirtualHost _default_:443>
   	...
   	...
   		<Directory /var/www/*vasesluzba*.vse.cz/aplikace>
   			AuthType shibboleth
   			ShibRequestSetting requireSession 1
   			require shib-session
   		</Directory>
   
   		<Directory /var/www/*vasesluzba*.vse.cz/klon_aplikace>
   			AuthType shibboleth
   			ShibRequestSetting applicationId klon_aplikace
   			ShibRequestSetting requireSession 1
   			require shib-session
   		</Directory>
   	...
   	</VirtualHost>
   

2. Vygenerujte nový podpisový certifikát s klíčem (pro názvy nově vzniklých souborů použijte například sp-key-test.pem a sp-key-cert.pem): shib-keygen -h *jmeno_domeny* -y 10 -e *URI_sluzby*.
3. Stáhněte metadata testovacího IdP na svůj server a uložte je do hlavní složky Shibboleth instalace pod názvem id-test_metadata.xml.
4. Přidejte element <ApplicationOverride> do konfigurace Shibboleth SP (v případě, že se klon aplikace nachází na stejném serveru jako provozní verze, jsou obě aplikace spravovány jedním Shibboleth procesem) v souboru shibboleth2.xml. Tento element musí obsahovat vše, co nemají aplikace společné. Kromě nutného atributu id to tak bude entityID, podřízený element <Sessions>, který musí obsahovat nové handlerURL pro klon aplikace a v něm další podřízený element <SSO>. Dále nesmí chybět element <MetadataProvider> a <CredentialResolver>, který musí obsahovat nový pár klíče a certifikátu pro metadata. Výsledek může vypadat například následovně:

   
    </ApplicationDefaults>
   	...
   	...
   	<ApplicationOverride id="klon_aplikace" entityID="https://*vase_adresa*.vse.cz/klon_aplikace">
   		<Sessions lifetime="28800" timeout="3600" relayState="ss:mem"
   			checkAddress="false" handlerSSL="true" cookieProps="https"
   			handlerURL="/klon_aplikace/Shibboleth.sso">
   
   				<SSO entityID="https://id-test.vse.cz/idp/shibboleth">
   				SAML2
   				</SSO>
   			<Handler type="MetadataGenerator" Location="/Metadata" signing="false" template="metadata-template.xml"/>
   		</Sessions>
   
   			<MetadataProvider type="XML" validate="true" file="id-test_metadata.xml">
   			</MetadataProvider>
   
   			<CredentialResolver type="File" key="sp-key-test.pem" certificate="sp-cert-test.pem"/>
   	</ApplicationOverride>
   
    </ApplicationDefaults>
   
   </SPConfig>
   

5. Atributová politika testovacího IdP je volná - všechny atributy, o které aplikace prostřednictvím metadat požádá, od testovacího IdP také dostane. Metadata tak kromě obvyklé konfigurace (která bude, až na entityID a hostname, shodná s konfigurací metadat původní aplikace) musí obsahovat i element <RequestedAttribute>, například v následující podobě:

    
<md:RequestedAttribute FriendlyName="uid" Name="urn:oid:0.9.2342.19200300.100.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>

Kompletní vzorová metadata, s korektními žádostmi o všechny podporované atributy lze stáhnout zde. Doporučujeme zkopírovat žádosti o metadata a pouze vymazat ty atributy, které jsou pro Vaši aplikaci zbytečné.
6. V tomto okamžiku je váš server připraven na registraci. Pokračujte dále na registraci nové služby.

Kontakt na správce a podpora

O systém id-test.vse.cz se stará:

• Oddělení systémové podpory,
• Ing. Ondřej Vadinský, Ph.D.,
• Václav Pleskač,

Pokud něco nefunguje, jak by mělo, nebo máte dotaz k tomuto systému, pište na adresu id@vse.cz. Jestliže se váš dotaz netýká přímo systému id-test.vse.cz, použijte prosím Helpdesk CI.