SimpleSAMLphp tapatybės tiekėjo (IdP) konfigūravimas

Iš LITNET WIKI.
18:28, 5 balandžio 2017 versija, sukurta JTadmin (Aptarimas | indėlis) (Naujas puslapis: Kategorija:SSO == Tapatybės tiekėjo konfigūravimas == Norint susikonfigūruoti SimpleSAMLphp paketą kaip tapatybės tiekėją (IdP), visų pirma reikia įdiegti programin...)
(skirt) ← Ankstesnė versija | Dabartinė versija (skirt) | Vėlesnė versija→ (skirt)
Peršokti į: navigacija, paiešką

Tapatybės tiekėjo konfigūravimas

Norint susikonfigūruoti SimpleSAMLphp paketą kaip tapatybės tiekėją (IdP), visų pirma reikia įdiegti programinį paketą kaip nurodyta instrukcijoje. Konfigūracijoje reikia nurodyti, kad paketas bus naudojamas kaip tapatybės tiekėjas (failas config/config.php):

'enable.saml20-idp' => true,

config/authsource.php faile nurodome autentifikavimo šaltinį, kuris bus naudojamas informacijai apie vartotojus gauti (pvz: KTU-ldap):

'KTU-ldap' => array(
        'ldap:LDAP',
        'hostname' => '__ldap_server__domain__',
        'enable_tls' => TRUE,
        'debug' => FALSE,
        'timeout' => 0,
        'attributes' => NULL,
        'search.enable' => TRUE,
        'search.base' => 'ou=Users,dc=ktu,dc=lt',
        'search.attributes' => array('uid', 'eduPersonPrincipalName'),
        'search.username' => 'cn=paieska,ou=system,dc=ktu,dc=lt',
        'search.password' => '__password__',
        'priv.read' => FALSE,
        'priv.username' => NULL,
        'priv.password' => NULL,
),

metadata/saml20-idp-host.php faile nurodome tapatybės tiekėjo informaciją. 'auth' => 'KTU-ldap' nurodo, kad vartotojų paieška ir autentifikavimas bus atliekamas naudojant anksčiau aprašytą autentifikacijos šaltinį (pvz: login.ktu.lt):

$metadata['__DYNAMIC:1__'] = array(
	'host' => '__DEFAULT__',
	'OrganizationName' => array(
		'en' => 'Kaunas University of Technology',
		'lt' => 'Kauno technologijos universitetas',
	),
	'OrganizationURL' => array(
		'en' => 'http://ktu.edu',
		'lt' => 'http://ktu.edu/',
	),
	'privatekey' => 'login.ktu.lt.2048.pem',
	'certificate' => 'login.ktu.lt.2048.crt',
	'auth' => 'KTU-ldap',
	'logouttype' => 'iframe',
	'request.signing' => TRUE,
	'redirect.sign' => TRUE,
	'attributes.NameFormat' => 'urn:oasis:names:tc:SAML:2.0:attrname-format:uri',
	'authproc' => array(
		100 => array('class' => 'core:AttributeMap', 'name2oid'),

	),
        'signature.algorithm' => 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha256',
    ....
);

Atlikus šiuos žingsnius, https://<domain_name>/simplesaml/saml2/idp/metadata.php?output=xhtml bus pasiekiami sukonfigūruoto tapatybės tiekėjo metaduomenys, kuriuos reikia pateikti paslaugų teikėjams, pageidaujantiems naudotis tapatybės tiekėju.

Paslaugų teikėjų metaduomenys talpinami faile metadata/saml2-sp-remote.php.

Kaip patikrinti ar viskas veikia

Prisijungus prie SimpleSAMLphp administravimo panelės adresu https://<domain_name>/simplesaml/ ir pasirinkus meniu skiltį Autentifikavimas -> Testuoti nustatytus autentifikavimo šaltinius -> KTU-ldap bei suvedus teisingą prisijungimo vardą ir slaptažodį turi atsidaryti langas su autentifikuoto vartotojo informacija.