Shibboleth-käyttöönotto Finnassa on yksinkertaista, mutta vaatii muutaman asetuksen säädön local/config/vufind/config.ini-tiedostossa, mikäli kirjautuminen halutaan rajata vain oman organisaation käyttäjille. Näiden asetusten säätämisen jälkeen voidaan Shibboleth kytkeä päälle hallintaliittymästä.

Tässä esimerkki ja selitys asetuksille:

[Shibboleth]
provider_id = "https://haka.organisaatio.fi/idp/shibboleth"
userattribute_1 = "Shib-Identity-Provider"
userattribute_value_1 = "https:\\/\\/haka\\.organisaatio\\.fi\\/idp\\/shibboleth"

provider_id on sen Shibboleth Identity Providerin tunniste, jota halutaan käyttää kirjautumiseen. userattribute_1 määrittelee attribuutin, joka kirjautumisen jälkeen tarkistetaan, jotta voidaan varmistaa, että käyttäjä kirjautui oikeaan organisaatioon. userattribute_value_1 sisältää saman arvon kuin provider_id, mutta siinä kauttaviivojen ja pisteiden eteen täytyy lisätä kaksi kenoviivaa (tekninen selitys: vertailuun käytetään säännöllisiä lausekkeita, ja ini-tiedostossa kenoviivaa käytetään escape-merkkinä).

Identity Providerin tunniste löytyy Haka-metadatasta entityID-attribuutista kunkin palvelun kohdalta. Tässä esimerkkikohta, jossa CSC:n IdP https://idp.csc.fi/idp/shibboleth:

  <EntityDescriptor entityID="https://idp.csc.fi/idp/shibboleth">
    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <Extensions>

 

Tarvittaessa voidaan edellyttää käyttäjältä sopivaa entitlementiä (eduPersonEntitlement) lisäämällä ylläolevien asetusten lisäksi seuraavat:

userattribute_2       = "SHIB_entitlement"
userattribute_value_2 = "urn:mace:dir:entitlement:common-lib-terms"
  • No labels