Till KTH:s startsida Till KTH:s startsida

Konfiguration

Exempel från /etc/shibboleth/shibboleth2.xml

Metadata kan hämtas från SWAMID mha nedanstående konfiguration:

<MetadataProvider type="Chaining">
   <MetadataProvider type="XML" uri="https://mds.swamid.se/md/swamid-idp.xml" backingFilePath="swamid-idp.xml" reloadInterval="7200">
      <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
      <MetadataFilter type="Signature" certificate="md-signer2.crt"/>
   </MetadataProvider>
</MetadataProvider>

Hämta certifikatet md-signer2.crt från https://mds.swamid.se/md/md-signer2.crt och lägg det i /etc/shibboleth/.

Dessutom behövs konfiguration för att ange vilken IdP som skall användas. För att använda SWAMID:s directory service för att välja IdP, lägg till följande konfiguration:

<SSO discoveryProtocol="SAMLDS" discoveryURL="https://ds.swamid.se/discovery/DS">
   SAML2 SAML1
</SSO>

Alternativt om endast KTH:s IdP skall användas är det följande konfiguration som gäller:

<SSO entityID="https://saml.sys.kth.se/idp/shibboleth">
   SAML2 SAML1
</SSO>

Peter Reuterås skapade sidan 1 december 2011

Peter Reuterås taggade med SAML, xml och configuration. 1 december 2011

kommenterade 18 februari 2012

Finns det några exempel på hur detta används? Det finns bra exempel på hur CAS används, https://www.kth.se/social/group/cas/ .

Hur kan jag få detta att fungera med en PHP applikation?

Anmäl missbruk
kommenterade 8 mars 2012

Nej, vi har inga publicerade exempel.
Vilka som kan få tillgång till datat är begränsat ur ett myndighetsperspektiv.

Vill du ha mer information skicka ett epost enligt kontakt.

Niclas, Moderator KTH Social

Anmäl missbruk
kommenterade 28 mars 2012

Fast det är inte helt korrekt. Det stämmer bara om man man behöver tillgång till KTHs katalog så som namn, organistorisk tillhörighet mm. Om man bara vill autenticera användarna och själv kan sköta auktorisationen så behöver ingen på IT-avdelningen göra något för att använda SAML.

Den vanligase implemntationen av SAML är en produkt som shibboleth och funkar ihop med apache och valfri applikationsserver bakom den (som t.ex. tomcat eller django).

/Jonas Andersson, KTH IT-Avdelningen 

Anmäl missbruk
Administratör kommenterade 29 mars 2012

Måste finnas med i Swamid för att få någon information eller så måste sp:en läggas till lokalt för KTH.

Anmäl missbruk
kommenterade 29 maj 2012

Hur går man tillväga för att konfigurera SAML för att authensiera KTH-användare?

Jag får felmeddelandet: "No peer endpoint available to which to send SAML response". Måste ni lägga till en tjänst för att det ska fungera?

Är det skillnad på tjänster på KTH:s servrar, t.ex. sektionens hemsida och andra, utomstående, sidor? Slutligen, finns det någon anledning att använda detta före CAS-systemet?

Anmäl missbruk
Administratör kommenterade 30 maj 2012

Jag kan svara på det sista, använder du SAML använder du indirekt CAS, eftersom det är CAS som används för att i slutänden autentisera slutanvändaren, men det finns ingen anledning att använda CAS istället, det är bara olika protokoll där SAML är avsevärt mer kraftfullt och kan mycket mer, men å andra sidan mer komplext.

I övrigt vet jag tyvärr alldeles för lite om vår SAML-installation i dagsläget för att komma med konkreta tips och just det här felmeddelandet tycks kunna bero på en rad faktorer. Men, har du verifierat att de meddelanden du skickar till servern innehåller rätt information, t.ex hostnamn, så att det inte är felkonfigurerat?

Anmäl missbruk
kommenterade 30 maj 2012

Tack!

Så det behövs alltså inget godkännande eller konfiguration från er sida om man bara vill använda SAML till att autentisera användare på t.ex. sektionshemsidan? Det är bara jag som inte har konfigurerat rätt då?

Anmäl missbruk
Administratör kommenterade 30 maj 2012

Enligt kommentar ovan som jag tror stämmer ska det räcka. Däremot får du inga attribut, det kommer alltså inte med någon mer information om användaren som namn.

Anmäl missbruk

Administratör Fredrik Jönsson ändrade rättigheterna 26 november 2014

Kan därmed läsas av alla och ändras av administratörer.