Ugrás a fő tartalomra

Harica

Harica eduID intergráció

Az új Harica TCS szolgáltató lehetővé teszi az eduGAIN bejelentkezést "Institutional Login" gomb segítségével.

Harica bejelentkezés eduID-val nem műküdik

A HARICA rendszerében a felhasználói fiók létrehozása nem sikerül, mert az Identity Provider (IdP) nem biztosítja a szükséges attribútumokat a Service Provider (SP) részére. A hibaüzenet a következő:

"Your Identity Provider (IdP) does not provide HARICA with the appropriate info (attributes) for your account. Please contact your IdP to fix this issue."

A megoldáshoz szükséges attribútumok listája a következő:

Attribútum OID Kötelező
eduPersonTargetedID urn:oid:1.3.6.1.4.1.5923.1.1.1.10 Igen
givenName urn:oid:2.5.4.42 Igen
mail urn:oid:0.9.2342.19200300.100.1.3 Igen
surname urn:oid:2.5.4.4 Igen
displayName urn:oid:2.16.840.1.113730.3.1.241 Nem
eduPersonEntitlement urn:oid:1.3.6.1.4.1.5923.1.1.1.7 Nem
eduPersonOrgUnitDN urn:oid:1.3.6.1.4.1.5923.1.1.1.3 Nem
eduPersonPrimaryAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5 Nem

SSP 2.x Megoldás

Az attribútumok kezelésére a NIIF SimpleSAMLphp AttributeLimit modul került használatra. Az alábbi konfiguráció az authproc szekcióban biztosítja, hogy a szükséges attribútumok átadásra kerüljenek a HARICA SP-jeinek.

Konfiguráció

Az alábbi beállításokat add hozzá ahhoz a filehoz ahol az authproc történik, pl saml20-idp-hosted.php:

10 => [
    'class' => 'attributelimit:AttributeLimit',
    'https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp' => [
        'urn:oid:0.9.2342.19200300.100.1.3', // mail
        'urn:oid:1.3.6.1.4.1.5923.1.1.1.6', // eduPersonPrincipalName
        'urn:oid:2.5.4.42', // givenName
        'urn:oid:2.5.4.4', // surname (sn)
        'urn:oid:2.16.840.1.113730.3.1.241', // displayName
        'urn:oid:1.3.6.1.4.1.25178.1.2.9', // schacHomeOrganization
        'urn:oid:1.3.6.1.4.1.5923.1.1.1.10', // eduPersonTargetedId
    ],
    'https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp' => [
        'urn:oid:0.9.2342.19200300.100.1.3', // mail
        'urn:oid:1.3.6.1.4.1.5923.1.1.1.6', // eduPersonPrincipalName
        'urn:oid:2.5.4.42', // givenName
        'urn:oid:2.5.4.4', // surname (sn)
        'urn:oid:2.16.840.1.113730.3.1.241', // displayName
        'urn:oid:1.3.6.1.4.1.25178.1.2.9', // schacHomeOrganization
        'urn:oid:1.3.6.1.4.1.5923.1.1.1.10', // eduPersonTargetedId
    ],
],

Magyarázat

  1. Az authproc szekcióban a attributelimit modul segítségével szabályozzuk, hogy mely attribútumok kerüljenek továbbításra az SP részére.

  2. Az egyes SP-khez tartozó attribútumokat külön definiáljuk az SP metaadat URL alapján.

  3. Az attribútumokat az OID alapján adjuk meg, például:

    • urn:oid:0.9.2342.19200300.100.1.3 a mail attribútumot jelenti.

Ellenőrzés

Jelentkezz be az IdP-n keresztül, és ellenőrizd, például saml tracer segítségével hogy átadásra kerülnek e a kötelező attribútumok.

Egyéb megoldás

Amennyiben az idp-nk nem simplesamlphp vagy nem szeretnénk az attributelimit modult használni, más módon kell az IdP-t konfigurálni a kötelező attribútumok kiadására.

No comments to display

Oldal eleje