Upute za korištenja AAI@EduHr Laba

 


1) Proces registracije

Procedura za registraciju testnog resursa gotovo je identična proceduri za registraciju produkcijskog resursa, razlika je samo u vrijednosti parametra 'Vrsta resursa'. Za registraciju testnog resursa potrebno je prijaviti se u online Registar resursa i kliknuti na ikonicu Resursi koji koriste Single Sign-On. Nakon toga, u prozoru koji će se otvoriti potrebno je odabrati opciju Registriraj novi resurs, popuniti formu s podacima o resursu i kliknuti na opciju Pošalji zahtjev za registracijom. Pritom je važno naglasiti da u formi za registraciju resursa, u polju Vrsta resursa treba biti postavljena vrijednost 'test'.

Nakon što zahtjev za registracijom resursa bude odobren od strane AAI@EduHr tima, autentikacija putem AAI@EduHr Lab Single Sign-On servisa bit će omogućena, a osoba koja je postavila zahtjev za registracijom dobit će o tome obavijest elektroničkom poštom.

Važne napomene:

  1. Iz sigurnosnih razloga pristup AAI@EduHr registru resursa omogućen je samo sljedećim kategorinjama korisnika:

    • Osobe koje su u Registru već evidentirane kao administratori podataka o nekom od postojećih resursa;

    • Osobe koje u LDAP imeniku kao vrijednost atributa 'uloga u ustanovi' (hrEduPersonRole) imaju postavljeno administrator imenika ili CARNet sistem inženjer;

    Ako ne zadovoljavate niti jedan od prethodno navedenih kriterija, a svejedno imate potrebu registrirati novi resurs u sustavu AAI@EduHr, kontaktirajte AAI@EduHr razvojni tim pa ćemo vam omogućiti pristup Registru resursa.

  2. Ako prvi put registrirate neki resurs putem AAI@EduHr registra resursa ili do sada niste imali nikakvih iskustava sa SAML protokolom, moguće je da nećete znati popuniti pojedina polja prilikom registracije resursa. U slučaju da imate bilo kakvih problema s popunjavanjem forme za registraciju resursa, kontaktirajte AAI@EduHr razvojni tim.


2) Metapodaci

Obzirom da resursi koji imaju status 'test' ne mogu koristiti produkcijsku inačicu sustava jedinstvene autentikacije korisnika, u konfiguraciji SAML klijenta potrebno je unijeti parametre za pristup inačici sustava jedinstvene autentikacije korisnika implementiranoj u sklopu AAI@EduHr Lab-a. U nastavku su navedene upute na koji način se najčešće korišteni SAML klijenti (autentikacijski moduli) podešavaju za autentikaciju putem razvojnog sustava jedinstvene autentikacije.

Važno!!!

Ako je programska podrška na vašem poslužitelju već bila iskonfigurirana za korištenje produkcijskog AAI@EduHr Single Sign-On servisa, prije nego što krenete raditi izmjene navedene u nastavku napravite kopiju svake datoteke u kojoj radite izmjene kako biste u trenutku eventualne promjene statusa resursa iz testnog u produkcijski mogli što lakše vratiti konfiguraciju podešenu za uporabu produkcijskog Single Sign-On servisa!

simpleSAMLphp (PHP):

Ako se kao autentikacijski modul koristi simpleSAMLphp, u datoteci ../metadata/saml20-idp-remote.php postojeći sadržaj treba zamijeniti sljedećim sadržajem:

$metadata['fed-lab.aaiedu.hr'] = array (
'metadata-set' => 'saml20-idp-remote',
'entityid' => 'fed-lab.aaiedu.hr',
'SingleSignOnService' => 'https://fed-lab.aaiedu.hr/sso/saml2/idp/SSOService.php',
'SingleLogoutService' => 'https://fed-lab.aaiedu.hr/sso/saml2/idp/SingleLogoutService.php',
'certFingerprint' => '5a393bbbf6bcdce1877a63092b89b7202307dd82'
);


A u datoteci ../config/authsources.php, u segmentu koji se odnosi na Service Provider parametar kojeg koristi vaša aplikacija (standardno je to default-sp, ali za autentikaciju preko fed-lab.aaiedu.hr servisa trebate koristiti fedlab-sp) varijabla 'idp' treba imati vrijednost kao što je prikazano u nastavku:

'fedlab-sp' => array(
'saml:SP',
'entityID' => NULL,
'idp' => 'fed-lab.aaiedu.hr',
'discoURL' => NULL,
),


Napomena: Prethodno navedene upute trebale bi vrijediti za sve inačice programskog alata simpleSAMLphp počevši od verzije 1.5. naovamo. Međutim, preporučamo da koristite simpleSAMLphp 1.9.2 (ručna instalacija raspakiravanjem iz arhive ili instalacija iz AAI@EduHr Debian paketa) ili simpleSAMLphp 1.6.3 (instalacija iz AAI@EduHr Debian paketa) jer su jedino te dvije verzije i službeno podržane od strane AAI@EduHr tima.

Shibboleth (Java):

Ako se kao autentikacijski modul koristi Shibboleth 2.x, u datoteci metadata.xml, unutar taga EntityDescriptor treba postaviti slijedeće vrijednosti parametra validUntil i entityID:

validUntil="2020-01-01T00:00:00Z"
entityID="fed-lab.aaiedu.hr"


Vrijednost parametra validUntil označava dokle vrijede podaci navedeni u datoteci metadata.xml. Ako se ti podaci ne mijenjaju često (a ne mijenjaju), dobro je taj datum staviti što dalje u budućnosti.

Zatim je u bloku <IDPSSODescriptor> ... </IDPSSODescriptor> u odjeljku:

<KeyDescriptor use="signing">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>
...
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>


između tagova <ds:X509Certificate> i </ds:X509Certificate> umjesto postojećeg potrebno ubaciti certifikat koji se nalazi na adresi https://fed-lab.aaiedu.hr/sso/module.php/saml/idp/certs.php/idp.crt

Napomena: Prilikom kopiranja sadržaja certifikata NE SMIJE se iskopirati prva (BEGIN CERTIFICATE) i zadnja (END CERTIFICATE) linija, nego samo ono što se nalazi između njih.

Također, pri samom kraju bloka <IDPSSODescriptor> ... </IDPSSODescriptor> potrebno je navesti adresu AssertionConsumer servisa

<SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest"
Location="https://fed-lab.aaiedu.hr/sso/saml2/idp/SSOService.php"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://fed-lab.aaiedu.hr/sso/saml2/idp/SSOService.php"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://fed-lab.aaiedu.hr/sso/saml2/idp/SSOService.php"/>

i time su završene sve potrebne izmjene u datoteci metadata.xml.

U datoteci shibboleth2.xml u bloku <SessionInitiator type="Chaining" ... > </SessionInitiator> postojeću vrijednost parametra entityID treba zamijeniti sljedećom vrijednošću:

entityID="fed-lab.aaiedu.hr"

i na kraju, da bi se učitala nova konfiguracija potrebno je restartati Shibboleth servis.

OIOSAML.NET (Microsoft .NET platforma):

Ako se kao autentikacijski modul koristi OIOSAML.NET, za autentikaciju putem AAI@EduHr Lab Single Sign-On servisa vrijede upute na stranici http://developer.aaiedu.hr/faq/OIOSAML.html uz nekoliko manjih izmjena:
  • U koraku 10 blok <IDPEndPoints metadata="C:\metadata\>...</IDPEndPoints> treba imati sljedeći sadržaj:

    <IDPEndPoints metadata="C:\metadata\>
    <add id="https://fed-lab.aaiedu.hr/ms/saml2/idp/metadata.php">
    <CertificateValidation>
    <add type="dk.nita.saml20.Specification.SelfIssuedCertificateSpecification, dk.nita.saml20"/>
    </CertificateValidation>
    </add>
    </IDPEndPoints>

  • U koraku 11 metapodatke treba dohvatiti s adrese https://fed-lab.aaiedu.hr/ms/saml2/idp/metadata.php
Napomena: Za resurse (i testne i produkcijske) koji koriste OIOSAML.NET autentikacijski modul potrebno je u Registru resursa kao vrijednost opcije Redirect Sign staviti true.

3) Migracija

Od uvođenja AAI@EduHr Lab Single Sign-On servisa u produkciju, resursi koji koriste AAI@EduHr sustav jedinstvene autentikacije fizički su razdvojeni u dvije skupine:

  • Resursima koji u Registru resursa kao vrijednost parametra 'vrsta resursa' imaju postavljeno test omogućena je autentikacija isključivo putem testnog AAI@EduHr Single Sign-On servisa uz uporabu elektroničkih identiteta pohranjenih u testnim LDAP imenicima kreiranim u sklopu AAI@EduHr Lab-a.

  • Resursima koji u Registru resursa kao vrijednost parametra 'vrsta resursa' imaju postavljeno produkcija omogućena je autentikacija isključivo putem produkcijskog AAI@EduHr Single Sign-On servisa uz uporabu elektroničkih identiteta pohranjenih u LDAP imenicima matičnih ustanova u sustavu AAI@EduHr.

Niti jedan resurs ne može istodobno imati pristup i testnom i produkcijskom Single Sign-On servisu.

Ovisno o tehnologiji, odnosno programskom jeziku korištenom za implementaciju pojedinog resursa, za pristup produkcijskom AAI@EduHr Single Sign-On servisu potrebno je na strani resursa iskonfigurirati parametre u skladu s uputama na web stranici http://developer.aaiedu.hr/faq/8.html ili http://developer.aaiedu.hr/faq/OIOSAML.html

Za pristup testnoj inačici Single Sign-On servisa potrebno je slijediti iste upute kao i kod produkcijskog servisa i nakon toga još napraviti izmjene opisane u koraku 2) na ovoj stranici.

Prilikom migracije resursa iz testnog u produkcijsko okruženje (i obrnuto), na strani AAI@EduHr sustava dovoljno je u Registru resursa promijeniti vrijednost polja 'vrsta resursa' i kliknuti na opciju 'Ažuriraj'. Na taj način ćete postaviti zahtjev za promjenu statusa resursa. Nakon što zahtjev za izmjenom statusa bude odobren od strane administratora AAI@EduHr sustava, ovisno o vrsti zahtjeva resurs će biti prebačen iz konfiguracije testnog u konfiguraciju produkcijskog AAI@EduHr Single Sign-On servisa ili obrnuto.

Za sva dodatna pitanja i pomoć pri rješavanju eventualnih problema, kontaktirajte nas elektroničkom poštom na team@aaiedu.hr