install:idp:metadata

Metadáta

Metadáta federácie safeID.sk a eduGAIN sú podpísané verejným kľúčom. Je nevyhnutné overovať ich autenticitu kontrolou podpisu.

Verejný kľúč je potrebné stiahnuť do adresára: /opt/shibboleth-idp/credentials

Verejný kľúč pre kontrolu podpisu metadát:

https://metadata.safeid.sk/keys/safeid-metadata-signing.pem

Údaje poskytovateľa metadát (dopĺňajú sa do konfigurácie /opt/shibboleth-idp/conf/metadata-providers.xml):

Zdroje metadát:

safeID interfederation (safeID & eduGAIN): participácia v interfederácii eduGAIN aj v lokálnej federácii safeID

safeID metadáta: participácia len v rámci lokálnej federácie safeID

Pre vaše IdP nastavujete vždy jeden zdroj metadát - SafeID interfederation alebo safeID.

safeID a eduGAIN metadáta

<!-- safeID interfederation -->
    <!-- safeID & eduGAIN -->
    <MetadataProvider
        id="safeid-interfed"
        xsi:type="FileBackedHTTPMetadataProvider"
        backingFile="%{idp.home}/metadata/safeid-interfed.xml"
        metadataURL="https://metadata.safeid.sk/metadata/safeid-interfed.xml"
        maxRefreshDelay="PT30M">
 
        <MetadataFilter
            xsi:type="SignatureValidation"
            requireSignedRoot="true"
            certificateFile="%{idp.home}/credentials/safeid-metadata-signing.pem" />
 
        <MetadataFilter
            xsi:type="RequiredValidUntil"
            maxValidityInterval="P30D" />
 
        <MetadataFilter
            xsi:type="Algorithm">
 
            <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
            <ConditionRef>shibboleth.Conditions.TRUE</ConditionRef>
        </MetadataFilter>
    </MetadataProvider>

safeID metadáta

    <!-- safeID metadata -->
    <!-- safeID
    <MetadataProvider
        id="safeid-metadata"
        xsi:type="FileBackedHTTPMetadataProvider"
        backingFile="%{idp.home}/metadata/metadata.safeid.sk.xml"
        metadataURL="https://metadata.safeid.sk/metadata/metadata.safeid.sk.xml"
        maxRefreshDelay="PT30M">
 
        <MetadataFilter
            xsi:type="SignatureValidation"
            requireSignedRoot="true"
            certificateFile="%{idp.home}/credentials/safeid-metadata-signing.pem" />
 
        <MetadataFilter
            xsi:type="RequiredValidUntil"
            maxValidityInterval="P30D" />
 
        <MetadataFilter
            xsi:type="Algorithm">
 
            <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
            <ConditionRef>shibboleth.Conditions.TRUE</ConditionRef>
        </MetadataFilter>
    </MetadataProvider>
    -->

Informácie, ktoré je potrebné doplniť do metadát IdP vo federácii safeID.sk

Informácie v tomto príklade slúžia len pre demonštratívne účely.

Metadáta musíte upraviť pre Vaše IdP.

Súbor /opt/shibboleth-idp/metadata/idp-metadata.xml, ktorý obsahuje metadáta IdP je potrebné doplniť o ďalšie informácie tak, aby sa zhodovali s pravidlami federácie safeID.sk:

Element <UIInfo> zapisujete do elementu <Extensions>, napríklad za <Scope>:

        <Extensions>
            <shibmd:Scope regexp="false">example.org</shibmd:Scope>
<!--
   Detailne informacie o Vasom IdP v slovenskom a anglickom jazyku vratane loga. Vo vacsine pripadov je to logo organizacie.
-->
            <mdui:UIInfo>
                <mdui:DisplayName xml:lang="en">Example University</mdui:DisplayName>
                <mdui:DisplayName xml:lang="sk">Univerzita Príklad</mdui:DisplayName>
                <mdui:Description xml:lang="en">Identity Provider for Example University users.</mdui:Description>
                <mdui:Description xml:lang="sk">Identity Provider pre používateľov Univerzity Príklad.</mdui:Description>
                <mdui:InformationURL xml:lang="en">http://www.example.org/en/</mdui:InformationURL>
                <mdui:InformationURL xml:lang="sk">http://www.example.org/sk/</mdui:InformationURL>
                <mdui:Logo height="82" width="100">https://idp.example.org/images/example-logo-100.png</mdui:Logo>
                <mdui:Logo height="163" width="200">https://idp.example.org/images/example-logo-200.png</mdui:Logo>
                <mdui:Logo height="326" width="400">https://idp.example.org/images/example-logo-400.png</mdui:Logo>
            </mdui:UIInfo>
        </Extensions>

Pozrite tiež: úprava prihlasovacej stránky

Ďalej je potrebné doplniť informácie o organizácii v elemente <Organization> (patrí do elementu <EntityDescriptor> za element </AttributeAuthorityDescriptor>):

  <!--
 	Detailne informacie o organizacii v slovenskom a anglickom jazyku.
   -->
    <Organization>
        <OrganizationName xml:lang="en">Example University</OrganizationName>
        <OrganizationName xml:lang="sk">Univerzita Príklad</OrganizationName>
        <OrganizationDisplayName xml:lang="en">Example University</OrganizationDisplayName>
        <OrganizationDisplayName xml:lang="sk">Univerzita Príklad</OrganizationDisplayName>
        <OrganizationURL xml:lang="en">http://www.example.org/en/</OrganizationURL>
        <OrganizationURL xml:lang="sk">http://www.example.org/sk/</OrganizationURL>
    </Organization>

Doplňte kontakt na technickú podporu v elemente <ContactPerson> (znova v elemente <EntityDescriptor> za element <Organization>):

<!-- 
	Kontakt na technicku podporu
-->
    <ContactPerson contactType="technical">
        <GivenName>Example</GivenName>
        <SurName>Helpdesk</SurName>
        <EmailAddress>mailto:helpdesk@example.org</EmailAddress>
    </ContactPerson>
</EntityDescriptor>

Štandardné umiestenie metadát:

Shibboleth IdP https://idp.example.org/idp/shibboleth

Pred odoslaním metadát overte ich zhodu s pravidami federácie safeID.sk vo validátore metadát: https://mdr.safeid.sk/saml-validator/

Metadáta uložíte zo stránky Vášho IdP (https://idp.example.org/idp/shibboleth) do súboru vo formáte XML vase_metadata.xml.

Po úspešnom validovaní metadát je potrebné ich poslať v určenom formáte e-mailom podpísaným osobným digitálnym certifikátom na adresu pre zasielanie žiadostí uvedenú v kontaktoch.

Preferovanou formou je podpísaný e-mail (S/MIME, OpenPGP).