Date: Tue, 19 Mar 2024 10:11:23 +0000 (GMT) Message-ID: <619541956.3577.1710843083316@db09965d38b2> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_3576_1308237000.1710843083305" ------=_Part_3576_1308237000.1710843083305 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Konfigurationerna under denna sida fungerar endast f=C3=B6r Shibboleth 3= eller senare. F=C3=B6r simpleSAMLphp och ADFS kan konfigurationsexemplen e= ndast anv=C3=A4ndas som inspiration.
SWAMID =C3=A4r en en multilateral identitetsfederation d=C3=A4r alla ide= ntitetsutgivare pratar direkt med alla tj=C3=A4nster. Detta inneb=C3=A4r at= t en identitetsutgivare m=C3=A5ste ha tillg=C3=A5ng till tj=C3=A4nsternas m= etadata n=C3=A4r en anv=C3=A4ndare vill logga in i tj=C3=A4nsten. I princip= finns tv=C3=A5 s=C3=A4tt att g=C3=B6ra detta, dels genom att med j=C3=A4mn= a mellanrum h=C3=A4mta metadata f=C3=B6r alla tj=C3=A4nster och dels genom = att dynamiskt h=C3=A4mta metadata vid behov. Traditionellt har SWAMID endas= t tillhandah=C3=A5llit den fulla nedladdningen men fr=C3=A5n och med v=C3= =A5ren 2023 g=C3=A5r det =C3=A4ven anv=C3=A4nda den dynamiska metoden.
N=C3=A4r identitetsutgivaren h=C3=A4mtar hem metadata fr=C3=A5n SWAMID s= ka den verifiera att det =C3=A4r metadata signerat av SWAMID som h=C3=A4mta= s hem och anv=C3=A4nds. F=C3=B6r denna signering anv=C3=A4nder SWAMID en PK= I-baserad krypteringsnyckel. F=C3=B6r att genomf=C3=B6ra denna kontroll beh= =C3=B6ver SWAMIDs signeringscertfikat laddas ner, installeras och konfigure= ras i identitetsutgivaren.
H=C3=A4mta certifkatsfilen md-signer2.crt fr=C3=A5n ht= tps://mds.swamid.se/md/md-signer2.crt och verifiera att det =C3=A4r r= =C3=A4tt nyckel genom att kontrollera fingerprint. Spara sedan certfikatsfi= len p=C3=A5 den plats i filsystemet som anges nedan om du gjort standardins= tallation av Shibboleth IdP.
/opt/sh= ibboleth-idp/credentials/md-signer2.crt
C:/Prog= ram Files (x86)/Shibboleth/IdP/credentials/md-signer2.crt
Om du v=C3=A4ljer att h=C3=A4mta full eller dynamisk metadata fr=C3=A5n = SWAMID =C3=A4r en riskbed=C3=B6mning. F=C3=B6rdelen med att automatiskt h= =C3=A4mta det fulla metadatat =C3=A4r att du alltid har en f=C3=A4rsk kopia= av SWAMIDs metadata men det betyder ocks=C3=A5 att tj=C3=A4nsten f=C3=B6rb= rukar mycket mer ramminne eftersom IdPn h=C3=A5ller allt metadata i prim=C3= =A4rminnet. En annan effekt av att h=C3=A4mta och anv=C3=A4nda det fulla me= tadatat fr=C3=A5n SWAMID =C3=A4r att det tar mycket l=C3=A4ngre tid att sta= rta IdP-tj=C3=A4nsten. F=C3=B6r att minska minnes=C3=A5tg=C3=A5ngen har SWA= MID st=C3=B6d f=C3=B6r att IdPn dynamiskt h=C3=A4mta metadata n=C3=A4= r en anv=C3=A4ndare ska logga in i tj=C3=A4nsten. F=C3=B6r att detta ska va= ra snabbt cachar IdP anv=C3=A4nd metadata under en period s=C3=A5 att den i= nte beh=C3=B6ver h=C3=A4mtas varje g=C3=A5ng. Nackdelen med den dynamiska h= =C3=A4mtningen av metadata =C3=A4r att SWAMIDs metadata tj=C3=A4nst alltid = m=C3=A5ste vara tillg=C3=A4nglig och detta har l=C3=B6st via en feltolleran= t teknisk l=C3=B6sning.
Stoppa in f=C3=B6ljande block XML p=C3=A5 relevant plats i metadata-prov= iders.xml dynamiskt h=C3=A4mta SWAMIDs metadata inklusive SP:s fr=C3=A5n ed= uGAIN.
<!-- = SWAMID MDQ METADATA PROVIDER --> <MetadataProvider id=3D"DynamicEntityMetadata" xsi:type=3D"DynamicHTTPMe= tadataProvider" connectionRequestTimeout=3D"PT2S" connectionTimeout=3D"PT2S" socketTimeout=3D"PT4S"> <MetadataFilter xsi:type=3D"SignatureValidation" requireSignedRoot= =3D"true" =09 certificateFile=3D"%{idp.home}/credentials/md-signer2.c= rt" /> <MetadataFilter xsi:type=3D"RequiredValidUntil" maxValidityInterval= =3D"P14D"/> =09 <MetadataQueryProtocol>https://mds.swamid.se/</MetadataQueryP= rotocol> </MetadataProvider>
Stoppa in f=C3=B6ljande block XML p=C3=A5 relevant plats i metadata-prov= iders.xml f=C3=B6r att h=C3=A4mta SWAMIDs metadata =C3=B6ver alla registrer= ade tj=C3=A4nster i SWAMID och fr=C3=A5n interfederationssamarbeten.
H=C3=A4mta metadata f=C3=B6r SWAMID 2.0 med f=C3=B6ljande konfiguration:=
<!-- = SWAMID 2.0 METADATA PROVIDER --> <MetadataProvider id=3D"Swamid2MD" xsi:type=3D"FileBackedHTTPMetadataPro= vider" xmlns=3D"urn:mace:shibboleth:2.0:metadata" =09=09metadataURL=3D"http://mds.swamid.se/entities/md/swamid-2.0.xml" =09=09backingFile=3D"%{idp.home}/metadata/swamid-2.0.xml"> =09<MetadataFilter xsi:type=3D"SignatureValidation" requireSignedMetadat= a=3D"true" =09=09=09certificateFile=3D"%{idp.home}/credentials/md-signer2.crt" /> =09<MetadataFilter xsi:type=3D"EntityRoleWhiteList"> =09=09<RetainedRole>md:SPSSODescriptor</RetainedRole> =09</MetadataFilter> </MetadataProvider>
Anv=C3=A4nd endast denna konfiguration om du planerar att registrera din= IdP i SWAMIDs testfederation.
Vid behov s=C3=A5 kan =C3=A4ven metadata f=C3=B6r SWAMIDs testfederation= l=C3=A4ggas till f=C3=B6r att till=C3=A5ta realistiska tester f=C3=B6r ej = driftsatta tj=C3=A4nsteleverant=C3=B6rer (SP):
<!-- = SWAMID TEST METADATA PROVIDER --> <MetadataProvider id=3D"Swamid2MD" xsi:type=3D"FileBackedHTTPMetadataPro= vider" xmlns=3D"urn:mace:shibboleth:2.0:metadata" =09=09metadataURL=3D"http://md.swamid.se/md/swamid-testing-1.0.xml" =09=09backingFile=3D"%{idp.home}/metadata/swamid-testing-1.0.xml"> =09<MetadataFilter xsi:type=3D"SignatureValidation" requireSignedMetadat= a=3D"true" =09=09=09certificateFile=3D"%{idp.home}/credentials/md-signer2.crt" /> =09<MetadataFilter xsi:type=3D"EntityRoleWhiteList"> =09=09<RetainedRole>md:SPSSODescriptor</RetainedRole> =09</MetadataFilter> </MetadataProvider>