====== Úprava nastavení IdP ======


===== Základná kontrola logov a funkčnosti =====


Shibboleth IdP zapisuje logy do súboru: ''/opt/shibboleth-idp/logs/idp-process.log''.

Pozornosť odporúčame venovať správam **"WARN"** a **"ERROR"**. 

V prípade vážnejšieho chybového stavu inštalácia Jetty zapisuje logy do suboru:

  * v Debian 10:  ''/var/log/jetty9/jetty-console.log''


Chybové hlásenia skontrolujeme aj pomocou IdP status:

<code>
/opt/shibboleth-idp/bin/status.sh
</code>

Pred testovaním prihlásenia sa k webovej službe v prehliadači môžeme otestovať funkčnosť konfigurácie prekladu a uvoľňovania atribútov **aacli**:

Napríklad pre demosp.sanet.sk službu (za parametrom -r nasleduje entityID služby):

<code>
/opt/shibboleth-idp/bin/aacli.sh -n username -r https://demosp.sanet.sk/sp
</code>

V prípade funkčnosti testu pomocou aacli môžeme v prehliadači vyskúšať reálne prihlásenie a uvoľňovanie atribútov.

<alert type="info" icon="glyphicon glyphicon-info-sign">
Attribute Authority Command Line Interface (AACLI)  https://wiki.shibboleth.net/confluence/display/IDP4/AACLI
</alert>

Prihlásenie k demo službe je momentálne k dispozícií na nasledovnej adrese (voľba "authentication source" zvoľte "safeid"):

<alert type="success" icon="glyphicon glyphicon-info-sign">
https://demosp.sanet.sk/simplesaml/module.php/core/authenticate.php
</alert>

===== Prihlasovacia stránka Shibboleth IdP =====

Prihlasovacia stránka, ktorú zobrazuje Shibboleth je editovateľný template súbor ''login.vm'' nachádzajúci sa v umiestnení: ''/opt/shibboleth-idp/views/login.vm''.

Predvolená podoba stránky sa nachádza v adresári: ''/opt/shibboleth-idp/dist/views/''.

Detailnejšie informácie sú k dispozícii v dokumentácii Shibboleth IdP 4 v sekcii AuthenticationConfiguration, konkretne na stránke PasswordAuthnConfiguration (Basic Features):

<alert type="info" icon="glyphicon glyphicon-info-sign">
https://wiki.shibboleth.net/confluence/display/IDP4/PasswordAuthnConfiguration#PasswordAuthnConfiguration-BasicFeatures
</alert>

Zobrazenie loga služby je potrebné povoliť v súbore ''jetty-rewrite.xml'', upraviť "Content-Security-Rule", v rámci nej uvoľniť zdroj obrázkov a napríklad zahrnúť všetky HTTPS stránky:

<alert type="info" icon="glyphicon glyphicon-info-sign">
**img-src: 'self'** zmeniť na: **img-src: 'self' https:**
</alert>


  * Debian 10: ''/etc/jetty9/jetty-rewrite.xml''


Príklad:

<code xml>
 <!-- Content-Security-Policy -->
                <Call name="addRule">
                    <Arg>
                        <New class="org.eclipse.jetty.rewrite.handler.HeaderPatternRule">
                            <Set name="pattern">*</Set>
                            <Set name="name">Content-Security-Policy</Set>
                            <Set name="value">default-src 'self'; style-src 'self'; script-src 'self' 'unsafe-inline'; img-src 'self' https:; font-src 'self'; frame-ancestors 'none'</Set>
                        </New>
                    </Arg>
                </Call>
</code>

Obsah konkrétnych premenných, ktoré sú definované v súboroch v adresári ''/opt/shibboleth-idp/system/messages/messages.properties'' môžeme redefinovať v súboroch v adresári ''/opt/shibboleth-idp/messages/'' napríklad v ''/opt/shibboleth-idp/messages/messages.properties'':

  * Debian 10: ''/opt/shibboleth-idp/system/messages/messages.properties''


<code>
idp.logo = /images/university-logo.png
idp.logo.alt-text = Example University
idp.footer = Example University IdP

root.footer = Example University IdP
</code>

Detailnejšie informácie sú k dispozícii v dokumentácii Shibboleth IdP v4 na stránke s názvom "MessagesTranslation".

<alert type="info" icon="glyphicon glyphicon-info-sign">
https://wiki.shibboleth.net/confluence/display/IDP4/MessagesTranslation
</alert>