Versions Compared

Old Version 3

changes.mady.by.user Fredrik Domeij

Saved on

compared with

New Version 4

changes.mady.by.user Fredrik Domeij

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Om det inte är möjligt att anpassa applikationen för krav på AL2-inloggning så går det att konfigurera Shibboleth Service Provider för att kontrollera detta.

Idén är att en mellansida införs i inloggningsflödet som kontrollerar tillitsnivå på användaren innan användaren vidarebefordras till den egentliga applikationen.

...

På denna sida beskrivs hur Shibboleth Service Provider kan konfigureras att kräva AL2 för en Confluence-installation.

Table of Contents

Script och stylesheet

Scriptet är skrivet i python. De första raderna är konfiguration som behöver anpassas för den specifika tjänsten:

...

Ladda ned login.cgi

Ladda ned login.css

Varningsmeddelande


Felmeddelande


Apache HTTPD-konfiguration

Befintlig HTTPD-konfiguration för applikationen ska bibehållas. För scriptet tillkommer detta, det tvingar Shibboleth-inloggning för att komma åt scriptet och ser till att det kan exekveras:

Code Block
languagexml
titlehttpd.conf
linenumberstrue
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
<Directory "/var/www/cgi-bin">
  AllowOverride None
  Options None
  Require all granted
</Directory>
<Location /cgi-bin/login.cgi>
  AuthType shibboleth
  ShibRequestSetting requireSession true
  ShibUseHeaders On
  Require valid-user
</Location>

Felsida

Felsida för användare som hamnar direkt i applikationen istället för scriptet som ger hjälp att hitta till scriptet där mer specifik information kan ges. Felsidan pekas ut i Error-konfigurationen i Shibboleth.

Ladda ned accessError.html

Felsidan


Shibboleth-konfiguration

Shibboleth-konfigurationen lägger in krav på AL2 för åtkomst till applikationen. Den ska läggas in efter error_date från scriptet så att det inte går att ta sig in i applikationen utan AL2 genom att ange applikationens URL direkt utan att gå via scriptet. Konfigurationen kontrollerar Assurance-Certification i metadatan för IdP:n och assurance för själva inloggningen för IdP:er som är registrerade i SWAMID, och godkänner även REFEDS RAF-medium för IdP:er som inte är registrerade i SWAMID under förutsättning att de signalerar att de inte återanvänder användarnamn (eduPersonPrincipalName) för andra individer:

Code Block
languagexml
titleshibboleth2.xml
linenumberstrue
<SPConfig...
  <RequestMapper type="Native">
    <RequestMap>
      <Host name="confluence.its.umu.se">
        <Path name="confluence">
          <AccessControl>
            <OR>
              <AND>
                <Rule require="assurance">http://www.swamid.se/policy/assurance/al2</Rule>
                <Rule require="Meta-Assurance-Certification">http://www.swamid.se/policy/assurance/al2</Rule>
                <Rule require="Meta-registrationAuthority">http://www.swamid.se/</Rule>
              </AND>
              <AND>
                <Rule require="assurance">https://refeds.org/assurance/IAP/medium</Rule>
                <Rule require="assurance">https://refeds.org/assurance/ID/eppn-unique-no-reassign</Rule>
                <NOT>
                  <Rule require="Meta-registrationAuthority">http://www.swamid.se/</Rule>
                </NOT>
              </AND>
            </OR>
          </AccessControl>
        </Path>
      </Host>
    </RequestMap>
  </RequestMapper>
  <ApplicationDefaults...
    <Sessions...
    <Errors ...
      access="accessError.html"
    />
  ...
  </ApplicationDefaults
  ...
</SPConfig>

Länk för inloggning

I stället för att skicka användare direkt in i applikationen efter inloggning, ska användare skickas till login.cgi ovan. Länken till applikationen ska konfigureras som target_url i login.cgi.

...