Uppgradera Shibboleth IdP från version 2 till version 3

Automatisk installation av IdP

Installationsscript för automatisk installation av en Shibboleth IDP.

  1. Ladda hem scriptet från: https://github.com/lordal/idp-installer-SWAMID fungerar på 
    • CentOS
    • RedHat7
    • Ubuntu
    • Debian 7 eller 8
    • OpenSUSE
  2. Öppna filen: idp-installer-SWAMID/www/appconfig/SWAMID/index.html i lämplig webbläsare.
  3. Fyll i aktuella värden för din miljö i konfigurationsgränssnittet.
  4. Kopiera konfigurationen och lägg in den i filen: idp-installer-SWAMID/config
  5. Kör: idp-installer-SWAMID/deploy_idp.sh
  6. Gör lokala anpassning för konstiga attribut
    1. Har du valt att använda LDAP som autentisering så bör du anpassa inloggningssidan. Instruktioner för detta finns här: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPassLoginPage
    2. Även filen "/opt/shibboleth-idp/conf/attribute-filter.xml" kan behövas ändras för att passa era behov.

    3. Beroende på din miljö så kan filen "/opt/shibboleth-idp/conf/attribute-resolver.xml" behöva modifieras för att rätt värde för attributen ska hämtas från din LDAP, som standard så hämtas värdena enligt scheman som t.ex. eduPerson.

      1. För personnummer, se denna sida: Svenska personnummer och norEduPersonNIN

      2. För anpassning för TCS Personal, se denna sida: Personliga certifikat i Sunet TCS

    4. Du gör Shibboleth enkelt tvåspråkig genom att installera svenska språkfiler.

Testa och byta IdP

När du anser att IDP:n fungerar är flödet följande : 

  1. Maila in IDP:n Metadata till operations@swamid.se för att få in metadatan i swamd-test
  2. När du fått in metadata för IdP testa på sp-test.swamid.se och samltest för att se det fungerar. Mer information om testning nedan
  3. Efter att testerna är klara maila operations och be dem lägga in den nya som idp-new samt med "Hide from discovery" i swamid-2.0, detta för att den nya metadatan skall migrera ut till de olika tjänsterna (tar 1-7 dagar beroende på tjänst). Den nya IdP:n kommer inte att läggas ut i eduGAIN vid detta tillfälle.
  4. Vänta nu i minst 7 dagar innan nästa steg tas!
  5. Be Operations att plocka bort "Hide from discover" samt -new på den nya, döp om den gamla till -Gammal/Old och lägg "Hide from discover" på den gamla. Operations byter nu även vilken som syns i eduGAIN.
  6. Be användarana att köra  http://md.nordu.net/reset  . Lämpligt att lägga denna länk på inloggningssidan på den gamla IdP:n.
  7. Kontakta alla hårdkodade SP:er och be dem att byta till den nya. SWAMID Operations vill särskild påminna om dessa:
    1. www.antagning.se - Ta kontakt med appldrift_saml@uhr.se.
    2. expert.antagning.se - Ta kontakt med  appldrift_saml@uhr.se.
    3. Digicert - Den på lärosätet som är SAML-admin i Digicert ändrar inställningar i Digicertwebben.
    4. Microsoft Imagine - Gå in under inställningar för inloggning med Shibboleth och byt entityId för identitetsutgivaren.
  8. Låt den gamla vara aktiv ytterligare minst 7 dagar och sök därefter tjänster som använder den gamla och meddela dem, kontakt uppgifter finns i metadata (http://mds.swamid.se/md/swamid-2.0.xml).
  9. Vänta nu i minst 7 dagar innan nästa steg tas! Verifiera att alla tjänster fungerar som de ska innan sista punkten.
  10. Plocka bort den gamla ur Metadata genom att ta kontakt med SWAMID Operations.

Testning av attribute release med Shibboleth IdP v3

Med en IdP i swamid-2-0 med hide from discovery kan man testa attribute release på flera sätt:

  1. Via https://sp.swamid.se/ (Alternativ, SWAMID testing)
  2. Via idp-mgr.sh script som finns i SWAMIDs idp-installer-SWAMID (som är en frontend till #3)
  3. Via aacli scriptet som finns under /opt/shibboleth-idp/bin:
./aacli.sh -u https://fqdn.av.idp/idp -n <användarnamn> -r <entityID av tjänsten du vill testa mot>

Till exempel:

./aacli.sh -u https://weblogin.kau.se/idp -n svensven -r https://connect.sunet.se/shibboleth

 

Det finns en lista av SWAMID Service Providers including interfederations med entityIDs.