Guia de Implementao de Verificao para o Cliente de

Verificao Shibboleth de Usurio

2013-11-19 Confidencial Verso 3,1

SUMRIO
Introduo ............................................................................................................................................... 1 Finalidade e pblico-alvo ............................................................................................................... 1 Termos mais utilizados................................................................................................................... 1 Viso global da verificao shibboleth de usurio .................................................................................... 3 O que verificao de usurio? ..................................................................................................... 3 O que Shibboleth? ...................................................................................................................... 3 Federaes do Shibboleth ............................................................................................................. 4 Como funciona o Shibboleth .......................................................................................................... 5 Diagrama de experincia do cliente ..................................................................................... 6 Resumo da Implementao do Shibboleth ..................................................................................... 6 Configure seu IdP .................................................................................................................................... 7 Metadados e IDs de entidade da Kivuto ......................................................................................... 7 Atributos ........................................................................................................................................ 7 Configurando o Shibboleth em sua webstore do ELMS .......................................................................... 12 Configurando o Shibboleth como Tipo de Verificao da webstore ............................................... 12 Configurando a verificao do Shibboleth .................................................................................... 13 Guia Detalhes .................................................................................................................... 13 Guia Configuraes ........................................................................................................... 13 Guia Diagnsticos.............................................................................................................. 15 Como testar a integrao....................................................................................................................... 16 Como testar o fluxo de trabalho ................................................................................................... 16 Validao ..................................................................................................................................... 16 Soluo de problemas ................................................................................................................. 17 Cenrios de implementao do Shibboleth ............................................................................................ 20 Cenrio 1: Webstore organizacional do ELMS para um nico membro de federao ................... 20 Cenrio 2: WebStore departamental do ELMS para um NICO membro de federao ................ 21 Cenrio 3: WebStore do ELMS integrada para um NICO membro de federao ........................ 22 Cenrio 4: WebStore do ELMS para TODOS os membros de uma federao .............................. 22 Suporte ................................................................................................................................................. 24

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 1

Introduo
Esta seo aborda as seguintes reas: Finalidade e pblico-alvo Termos mais utilizados

FINALIDADE E PBLICO-ALVO
Este documento oferece a voc instrues detalhadas para o estabelecimento de um mecanismo de logon nico entre um provedor de identidade Shibboleth existente de um cliente da Kivuto e um WebStore do ELMS da Kivuto. Este documento destina-se principalmente aos Administradores do ELMS e equipe tcnica que gerenciam servios de identidade para sua organizao. Leia este documento juntamente com a ajuda on-line, disponvel no site e5 Administration.

TERMOS MAIS UTILIZADOS

Termo ELMS / e5 Cliente Definio/descrio Sistema Eletrnico de Gerenciamento de Licenas Uma organizao usando o Shibboleth para autenticar os compradores a fim de usar uma WebStore do ELMS. No site de Administrao do ELMS, um cliente definido como uma Organizao. Usurio que est sendo conectado WebStore do ELMS. Um site de comrcio eletrnico do ELMS da Kivuto que fornece produtos para a venda em nome do cliente. Uma Webstore associada a um contrato de distribuio de software que abrange toda a organizao (por exemplo, DreamSpark Standard). Todos os membros da organizao sero elegveis para a solicitao de softwares atravs de Webstores desse tipo.

Comprador WebStore

Webstore Organizacional

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 1

Termo Webstore Departamental

Definio/descrio Uma Webstore associada a um contrato de distribuio de software departamental (por exemplo, DreamSpark Premium). Somente os membros de um departamento de uma organizao so elegveis para o pedido de softwares atravs de Webstores desse tipo. Uma Webstore ELMS associada a diversos contratos de distribuio de software, do tipo que abrange toda a organizao e do tipo departamental. Todos os membros de uma organizao podem fazer logon em Webstores desse tipo e sero elegveis para o pedido de softwares oferecidos por contratos que abrangem toda a organizao. Os membros elegveis dos departamentos tero acesso aos softwares oferecidos por meio dos contratos departamentais. Mdulo de administrao segura no ELMS que contm funes para gerenciar uma webstore e configurar uma verificao do usurio. Esse mdulo pode ser acessado apenas por usurios autorizados. De http://shibboleth.net: O sistema Shibboleth System um pacote de software de cdigo-fonte aberto e baseado em padres para logon nico na Web dentro ou fora dos limites da organizao. Ele permite que os sites tomem decises de autorizao conscientes em relao ao acesso individual a recursos on-line protegidos de modo a manter a privacidade. Provedor de Identidade. O software usado por uma organizao com usurios que desejam acessar um servio restrito. Provedor de Servios. O software executado pelo provedor que gerencia o servio restrito (por exemplo, Kivuto). Nome exclusivo de um IdP ou um SP em uma implementao do Shibboleth. O valor do ID de entidade da Kivuto : https://e5.onthehub.com .

Webstore Integrada

ELMS Administration

Shibboleth

IdP

SP

ID de entidade

Metadados

Dados de configurao usados por IdPs e SPs para realizar a comunicao entre eles. Declaraes feitas por um IdP sobre uma pessoa, como um endereo de e-mail ou um identificador exclusivo. Cdigo fornecido por uma organizao ou sua organizao me para identific-la durante as comunicaes com um servio de verificao de de Logon nico, como o Shibboleth. Para webstores departamentais, um atributo correspondente a esse cdigo deve ser passado para limitar o acesso a membros do departamento elegvel. Where Are You From servios de descoberta

Atributos

Cdigo Externo da Organizao

WAYF

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 2

Viso global da verificao shibboleth de usurio

Esta seo aborda as seguintes reas: O que verificao de usurio? O que Shibboleth? Como funciona o Shibboleth o Diagrama de experincia do cliente

Resumo da Implementao do Shibboleth

O QUE VERIFICAO DE USURIO?

A verificao de usurio o mtodo pelo qual a elegibilidade de um usurio da webstore para realizar o pedido de softwares autenticada. Somente usurios autenticados podem adquirir software na sua WebStore. O administrador do ELMS deve definir como seus usurios so autenticados. Isso conhecido como mtodos de verificao. Diversos mtodos de verificao podem ser usados para autenticar usurios, incluindo domnio do email, importao do usurio, Integrated User Verification (IUV) e Shibboleth (de um Programa de Identidade Federada).

O QUE SHIBBOLETH?
O Shibboleth um mtodo de verificao de logon nico (SSO) que atingiu ampla adoo em todo o mundo. Os motivos para isso variam desde suas origens de fonte aberta ao seu modelo de proteo de privacidade, que oferece aos indivduos e s organizaes grande controle sobre quais informaes pessoais so disponibilizadas a terceiros. O Shibboleth normalmente usado por uma federao ou grupo de organizaes. Por exemplo, o InCommon uma federao de organizaes nos Estados Unidos. O Canadian Access Federation um grupo que oferece os servios Shibboleth a instituies de ensino do Canad. Para quem precisar de informaes bsicas sobre o Shibboleth, consulte o site do projeto em http://shibboleth.net. Demonstraes passo a passo do processo de logon esto disponveis em http://www.switch.ch/aai/demo/easy.html.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 3

FEDERAES DO SHIBBOLETH
Os clientes que utilizam o Shibboleth com ELMS devem ser membros de uma federao que a Kivuto seja uma SP. Consulte Tabela1 para obter uma lista das federaes suportadas pela Kivuto. Tabela1: Lista de federaes Federao SWITCH InCommon Canadian Access Federation (CAF) UK Federation WAYFDK SWAMID Haka Belnet Edugate DFN eduGAIN IDEM RENATER ACO GRNET Pas Sua Estados Unidos Canad Reino Unido Dinamarca Sucia Finlndia Blgica Irlanda Alemanha Europa Itlia Frana ustria Grcia

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 4

COMO FUNCIONA O SHIBBOLETH

Estas so as etapas comuns de logon do Shibboleth em uma webstore do ELMS: O comprador chega WebStore da ELMS: Quando o comprador clica no link para fazer logon ou executa uma ao que exige autenticao (por exemplo, adicionando um item a um carrinho de compras), o software de SP do Shibboleth integrado webstore do ELMS redireciona o comprador pgina de entrada do IdP do Shibboleth ou a um servio de descoberta remota (WAYF) se for necessrio. O comprador escolhe a organizao de origem: Normalmente, esta etapa no necessria, mas est disponvel para casos nos quais mais de um membro de uma federao acessa a mesma WebStore da ELMS. O servio de descoberta apresenta uma lista de organizaes na qual o comprador escolhe sua organizao de origem e, em seguida, redireciona o comprador ao site do cliente. O site do cliente autentica o comprador: O site do cliente solicita ao comprador suas credenciais e autentica o usurio. Essa autenticao coordenada pelo software do IdP Shibboleth do cliente. O IdP cria um conjunto mnimo de atributos para o comprador exigido pela Kivuto. Em seguida, o site redireciona o comprador de volta WebStore do ELMS. A WebStore do ELMS autentica o comprador: Os atributos lanados pelo IdP do cliente so usados para criar um conjunto de credenciais na WebStore do ELMS (conta de usurio). Essa ao conclui o processo de verificao e a pgina original solicitada pelo comprador exibida.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 5

DIAGRAMA DE EXPERINCIA DO CLIENTE

ELMS

Descobert a (WAYF)

IdP do cliente

O comprador clica no link Registrar O comprador escolhe a organizao de origem O ELMS processa os atributos do comprador O comprador O comprador insere o nome de usurio e a senha

inicia as
compras!

RESUMO DA IMPLEMENTAO DO SHIBBOLETH

+
Configure seu IdP Libere atributos para os IDs de entidade da Kivuto Configure o ELMS para se comunicar com seu IdP

TESTE SUA INTEGRAO

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 6

Configure seu IdP

Esta seo aborda as seguintes reas: Metadados e IDs de entidade da Kivuto Atributos

METADADOS E IDS DE ENTIDADE DA KIVUTO

Caso a sua organizao seja um IdP em uma federao que tenha aceitado a Kivuto como um SP, esses sero encontrados nos metadados publicados pela federao. O ID de entidade usada pela Kivuto : https://e5.onthehub.com

ATRIBUTOS
O conjunto mnimo de declaraes de identidade exigido pela Kivuto : um identificador exclusivo de um comprador o o Isso permite que o comprador seja identificado em vrios logons.

uma lista de afiliaes de grupos Concede ao comprador acesso aos produtos restritos a membros de grupos especficos de usurio. Por exemplo, um produto pode estar disponvel apenas ao corpo docente e aos funcionrios.

Declaraes adicionais de identidade podem ser feitas (passadas durante a integrao) para personalizar ainda mais a WebStore do ELMS para seus usurios. Para obter uma lista de atributos, consulte a Tabela 2: Atributos, abaixo. Observao: Quais atributos devem ser transferidos depende do cenrio de implementao. Consulte Cenrios de implementao do Shibboleth para determinar quais atributos so necessrios para a sua implementao.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 7

Tabela2: Atributos
Atributo eduPersonTargetedID
urn:mace:dir:attribute-def:eduPersonTargetedID: urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Descrio Identificador exclusivo de um usurio. Se estiver opaco, convm usar a configurao Ocultar nome de usurio (consulte a Tabela 3: Configuraes).

persistent ID (SAML 2.0)

urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

Identificador exclusivo de um usurio.

uid
urn:mace:dir:attribute-def:uid urn:oid:0.9.2342.19200300.100.1.1

Identificador exclusivo de um usurio.

SwissEP_UniqueID
urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID urn:oid:2.16.756.1.2.5.1.1.1

Identificador exclusivo de um usurio (SWITCHaai).

eduPersonPrincipalName
urn:mace:dir:attribute-def:eduPersonPrincipalName urn:oid:1.3.6.1.4.1.5923.1.1.1.6

Identificador exclusivo de um usurio. Pode ser usado em combinao com outros IDs exclusivos. Neste caso, eduPersonPrincipalName ser o nome de usurio e o outro ID ser capturado como o identificador de membro em uma verificao de usurio.

eduPersonScopedAffiliation
urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9

Concede qualificao a um usurio atravs da associao do grupo de usurios. Os mapas de valor de atributo para o grupo de usurios so: Importante: Este atributo e os valores padro disponveis destinam-se serem passados a organizaes acadmicas. Organizaes corporativas podem precisar transferir diferentes parmetros para indicar a eligibilidade de seus usurios. Consulte seu gerente de conta para ver mais detalhes. Aluno -> Alunos Corpo Docente -> Corpo Docente Funcionrios -> Funcionrios Funcionrios-> Corpo Docente/Funcionrios Membro -> Alunos/Corpo Docente/Funcionrios

eduPersonAffiliation
urn:mace:dir:attribute-def:eduPersonAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.1

Concede qualificao a um usurio. O mesmo mapeamento do atributo do escopo.

eduPersonPrimaryAffiliation
urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5

Concede qualificao a um usurio. O mesmo mapeamento do atributo do escopo.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 8

Atributo isMemberOf
urn:mace:dir:attribute-def:isMemberOf urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Descrio Usado para grupo de usurios personalizado ou para mapeamento da organizao. Multivalor, use vrgulas ou dois pontos como delimitadores. Os valores podem ser qualificados, por exemplo, urn:mace:example.edu:groups:groupCode. A ltima parte dos valores qualificados usada ao fazer a correspondncia com os cdigos do sistema. Para grupos de usurios, ser feita a correspondncia dos valores com os campos Cdigo de Grupo de Usurios no site e5 Administration, na seo Usurios Grupos de Usurios. Quando correspondido, ser concedida ao usurio a associao ao grupo. Para as organizaes, ser feita a correspondncia dos valores com o campo Cdigo Externo da Organizao encontrado no site ELMS Administration aps ser fornecido para a Kivuto para a organizao da webstore ou em qualquer uma de suas organizaes afiliadas. Quando houver uma correspondncia, ser criada uma verificao de usurio, vinculando-o organizao que tenha grupos de usurios correspondentes. Isso pode ser usado, por exemplo, para especificar que um usurio membro de um departamento especfico. Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 9

Atributo eduPersonEntitlement
urn:mace:dir:attribute-def:eduPersonEntitlement SAML2: urn:oid:1.3.6.1.4.1.5923.1.1.1.7

Descrio Usado para grupo de usurios personalizado ou para mapeamento da organizao. Consulte isMemberOf para obter detalhes sobre como os valores so mapeados. Os valores so URIs, URNs ou URLs. Quaisquer URNs pode ser usados (por exemplo, urn:mace:school.edu:exampleResource)Tanto o valor integral de URN (urn:mace:school.edu:exampleResource) e a parte da cadeia de caracteres especfica ao namespace (exampleResource) sero comparadas aos mapeamentos de grupo e organizao. Somente as URLs do formulrio http://[SP]/eligibility/[IdP]/[code] podem ser usadas. Elas no so passveis de resoluo. A parte de valor ([code]) ser comparada aos mapeamentos de grupo e organizao. Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.

ou
urn:mace:dir:attribute-def:ou urn:oid:2.5.4.11

Usado para mapeamento da organizao. Espera-se o uso de vrgulas ou dois pontos com diversos valores como delimitadores. Ser feita a correspondncia dos valores com o campo Cdigo Externo da Organizao (que pode ser encontrado na pgina da organizao do site ELMS Administration aps ser fornecido para a Kivuto). Quando houver uma correspondncia, ser criada uma verificao de usurio, vinculando-o organizao que tenha grupos de usurios correspondentes. Isso pode ser usado, por exemplo, para especificar que um usurio membro de um departamento especfico. Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 10

Atributo eduPersonOrgUnitDN
urn:mace:dir:attribute-def:eduPersonOrgUnitDN urn:oid:1.3.6.1.4.1.5923.1.1.1.4

Descrio Usado para mapeamento da organizao. Os nomes distintos das entradas do diretrio que representam a unidade organizacional do usurio. Espera-se caracteres de barra vertical (|) com diversos valores como delimitadores. Os valores so esperados no formulrio DN, por exemplo, ou=Potions, o=Hogwarts, dc=hsww, dc=wiz. No exemplo, Potions seria o valor analisado e seria correspondido com os campos Cdigo Externo da Organizao (consulte ou). Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.

Surname
urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4

O sobrenome do usurio.

givenName
urn:mace:dir:attribute-def:givenName urn:oid:2.5.4.42

O nome do usurio.

mail
urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3

O endereo de e-mail do usurio.

homeOrganization
urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization urn:oid:2.16.756.1.2.5.1.1.4

A organizao qual o usurio pertence (SWITCHaai).

homeOrganizationType
urn:mace:switch.ch:attributedef:swissEduPersonHomeOrganizationType urn:oid:2.16.756.1.2.5.1.1.5

O tipo de organizao qual o usurio pertence. Um valor de universidade ou uas exigido para que o usurio receba qualificao acadmica (SWITCHaai).

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 11

Configurando o Shibboleth em sua webstore do ELMS

Esta seo aborda as seguintes reas: Configurando o Shibboleth como Tipo de Verificao da webstore Configurando a verificao do Shibboleth o o o Detalhes Configuraes Diagnsticos

Importante: Todas as tarefas descritas nesta seo devem ser executadas por um administrador registrado e ativo do ELMS conectado ao site ELMS Administration (https://e5.onthehub.com/admin). Ser necessrio um nmero de conta da organizao e um nome de usurio e senha vlidos para entrar no site.

CONFIGURANDO O SHIBBOLETH COMO TIPO DE VERIFICAO DA WEBSTORE

Antes de configurar o Shibboleth para funcionar em conjunto com a webstore do ELMS, necessrio definir o Shibboleth como um tipo de verificao. Para configurar o Shibboleth como o tipo de verificaoe: 1. No site do e5 Administration, clique em: Webstore. 2. Clique na aba Verificao. A lista dos tipos de verificao configurados no momento exibida. Por padro, Importaes de Usurios ou um tipo de verificao diferente pode ter sido configurado para sua WebStore quando ela foi implementada. 3. Clique na caixa de seleo ao lado de qualquer tipo de verificao que no o Shibboleth e, em seguida, clique no boto Excluir (ou clique no link Desativar na coluna Aes ao lado de qualquer tipo de verificao que no seja o Shibboleth). 4. Clique no boto Adicionar. Uma nova janela aberta. 5. Clique na caixa de seleo ao lado de Shibboleth. 6. Clique no boto OK para salvar a seleo.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 12

CONFIGURANDO A VERIFICAO DO SHIBBOLETH

Depois que a Shibboleth tiver sido definida como um tipo de verificao para a sua organizao, ser necessrio configur-la. Para configurar o Shibboleth: 1. No menu principal, clique em WebStore. 2. Clique na aba Verificao. 3. Clique no link Shibboleth. Uma nova janela abre com duas guias: Detalhes e Configuraes.

GUIA DETALHES
Geralmente, no necessrio ou aconselhvel alterar os valores padro dos campos dessa guia. Tenha cuidado se desejar alterar os valores padro de Setor e de Verificaes Expiram em. A alterao desses valores pode corromper a implementao fazendo com que seus usurios finais no possam entrar na webstore do ELMS.

GUIA CONFIGURAES
A pgina Configuraes define todas as informaes de cliente (organizao) exigidas pela Kivuto. Consulte a Tabela 3: Configuraes. Observao: As configuraes necessrias dependem do cenrio de implementao. Consulte Cenrios de implementao do Shibboleth para determinar quais configuraes so necessrias para a sua implementao. Tabela3: Configuraes
Informaes Terceiro confivel Descrio Lista das federaes das quais a Kivuto membro (por exemplo, InCommon, SWITCHaai).

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 13

Informaes ID de entidade do Provedor de Identidade

Descrio Servios de descoberta da federao (WAYF) podem ser ignorados fornecendo-se um valor a esta configurao. Se a WebStore for especfica de um IdP, este valor dever ser considerado como necessrio. O valor deve ser exatamente igual ao encontrado nos metadados. Por exemplo: urn:mace:incommon:myorg.edu ou https://shibboleth.myorg.edu

Endereo de e-mail do Administrador IUV

Endereo de email do indivduo (ou lista de distribuio) que receber mensagens de erro do ELMS.

Ocultar nome de usurio

Quando selecionada, esta configurao impede que o identificador exclusivo de um usurio seja exibido em vrios lugares na interface do usurio da WebStore. Isto ser til quando um nome de usurio formatado para a tela no for fornecido (ex., uma GUID) como parte do conjunto de atributos liberados do IdP.

URL de redirecionamento de logoff

A URL para o qual um usurio ser redirecionado ao sarem do SP do Shibboleth e da webstore. Se for deixado vazio, o usurio permanecer na WebStore ao fazer logoff e ser exibida uma mensagem semelhante seguinte: Voc entrou neste site, mas continua conectado ao seu sistema de logon nico. Se desejar fazer logoff completamente, ser NECESSRIO fechar o seu navegador.

Habilitar modo de diagnsticos

Quando habilitado, os dados do estado do servidor so capturados para toda tentativa de logon, e a mais recente pode ser visualizada na guia Diagnsticos. Consulte a seo Soluo de problemas em Como testar sua integrao.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 14

Informaes Escopo de qualificao restrito

Descrio Se selecionado, os atributos de qualificao (ex., eduPersonScopedAffiliation) sero processados somente para usurios com atributos de acompanhamento contendo informaes de mapeamento da organizao (ou, eduPersonOrgUnitDN, isMemberOf, eduPersonEntitlement). Se estiver desmarcado, os atributos de qualificao sero processados para todos os usurios. Se os atributos de mapeamento da organizao de acompanhamento estiverem presentes, os usurios recebero a associao nas organizaes correspondentes. Caso contrrio, os usurios recebero a associao na organizao da WebStore. Esses dados podem ser vistos, aps o logon, examinando-se os registros de verificao do usurio correspondente (Usurios [selecionar usurio] Verificaes). Observao: Esta opo deve ser selecionada se voc estiver configurando o Shibboleth para uma webstore puramente departamental de modo que somente os membros do departamento apropriado receba qualificao. Esta a nica ocasio que essa opo deve ser selecionada.

GUIA DIAGNSTICOS
A pgina Diagnsticos exibe dados capturados durante as tentativas de logon recentes. Nada ser exibido a menos que o Modo Diagnstico seja habilitado por meio da pgina Configuraes (consulte Tabela 3: Configuraes).

Para obter detalhes sobre o que exibido, consulte a seo Soluo de problemas em Como testar sua integrao.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 15

Como testar a integrao

Quando sua integrao estiver concluda, ser necessrio test-la. Esta seo aborda as seguintes reas: Como testar o fluxo de trabalho Validao Soluo de problemas

COMO TESTAR O FLUXO DE TRABALHO

As etapas comuns necessrias para testar sua implementao. 1. Configure seu IdP. 2. Configure sua WebStore do ELMS. 3. Acione o processo de autenticao de sua WebStore do ELMS. Caso j tenha se conectado ao site de administrao, voc dever se desconectar ou usar outro navegador. Se o tipo de verificao do Shibboleth estiver no status Teste, ser preciso usar o URL de teste disponvel em Webstore Verificao, que permite mtodos de verificao de teste ao acessar sua webstore. 4. Faa a autenticao com seu IdP e certifique-se de que tenha se conectado com xito sua WebStore do ELMS. 5. Valide os dados criados para o usurio em sua WebStore do ELMS conforme descrito na prxima seo. 6. Quando tudo estiver funcionando conforme o esperado, entre em contato com a Kivuto para continuar.

VALIDAO
Depois de obter xito na autenticao, importante verificar o perfil do usurio para garantir que todos os grupos de qualificao e as informaes de personalizao tenham sido definidos corretamente. Na WebStore do ELMS: 1. Clique no link Sua Conta/Pedidos, acima do banner da pgina. 2. Clique no link Detalhes da conta. Qualquer informao de personalizao transmitida ser exibida.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 16

3. Retorne pgina Sua Conta/Pedidos e clique no link Sua Qualificao para exibir os grupos de qualificao aos quais sua conta foi atribuda. No site de administrao do ELMS: 1. No menu principal, clique em Usurios. 2. Busque pelo usurio desejado e clique em Nome de Usurio para navegar at a pgina de detalhes. Qualquer informao de personalizao transmitida ser exibida. 3. Clique na guia Verificaes. Para cada autenticao bem-sucedida, haver uma entrada contendo a lista esperada de grupos de qualificao.

SOLUO DE PROBLEMAS
Caso encontre problemas durante a autenticao, ou se as informaes de personalizao ou qualificao no tiverem sido criadas conforme o esperado para seus usurios, talvez seja til habilitar o Modo Diagnsticos (consulte Tabela3). Os dados capturados durante as tentativas de logon recentes, bem-sucedidas ou no, sero exibidos na guia Diagnsticos Clicar em uma tentativa de logon individual mostra a pgina Detalhes com as seguintes sees: Usurio o Nome de usurio, nome e sobrenome, endereo de e-mail. Vazio para tentativas sem sucesso. Verificaes de Usurio o Para cada organizao, o usurio era mapeado (via ou, isMemberOf etc.), para a verificao de usurio correspondente, junto com o identificador de membro exclusivo, a data de expirao da verificao e associaes do grupo de usurio. Vazio para tentativas sem sucesso. Variveis de servidor do Shibboleth o As variveis do servidor IIS que faziam parte da sesso do Shibboleth ativa durante a tentativa de logon. Se os atributos esperados no forem exibidos aqui, o servidor do Shibboleth os ter descartado devido a um mapeamento ou formatao de valor no suportado. Para uma anlise de como as entradas na seo Variveis de servidor do Shibboleth so mapeadas para os atributos do Shibboleth, consulte Tabela4: Variveis de servidor do Shibboleth.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 17

Outras variveis de servidor o Outras variveis de servidor IIS ativas durante a tentativa de logon. Provavelmente, no til, mas presente no caso de uma varivel no ter sido classificada corretamente, e includa na seo Shibboleth acima.

Tabela4: Variveis de servidor do Shibboleth

Nome da varivel
HTTP_TARGETEDID

Nome do(s) atributo(s)

eduPersonTargetedID urn:oid:1.3.6.1.4.1.5923.1.1.1.10

HTTP_PERSISTENTID HTTP_AFFILIATION

urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:mace:dir:attribute-def:eduPersonAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.1 urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9 urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5

HTTP_ISMEMBEROF

urn:mace:dir:attribute-def:isMemberOf urn:oid:1.3.6.1.4.1.5923.1.5.1.1

HTTP_ACADEMICCAREER

urn:mace:dir:attribute-def:academicCareer rn:oid:1.3.6.1.4.1.5524.1.13

HTTP_PRINCIPALNAME

urn:mace:dir:attribute-def:eduPersonPrincipalName urn:oid:1.3.6.1.4.1.5923.1.1.1.6

HTTP_GIVENNAME

urn:mace:dir:attribute-def:givenName urn:oid:2.5.4.42

HTTP_MAIL

urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3

HTTP_SURNAME

urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4

HTTP_UID

urn:mace:dir:attribute-def:uid urn:oid:0.9.2342.19200300.100.1.1 urn:mace:dir:attribute-def:employeeNumber urn:oid:2.16.840.1.113730.3.1.3

HTTP_ENTITLEMENT

urn:mace:dir:attribute-def:eduPersonEntitlement urn:oid:1.3.6.1.4.1.5923.1.1.1.7

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 18

Nome da varivel
HTTP_OU

Nome do(s) atributo(s)

urn:mace:dir:attribute-def:ou urn:oid:2.5.4.11

HTTP_ORGUNITDN

urn:mace:dir:attribute-def:eduPersonOrgUnitDN urn:oid:1.3.6.1.4.1.5923.1.1.1.4

HTTP_UNIQUEID

urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID urn:oid:2.16.756.1.2.5.1.1.1

HTTP_HOMEORGANIZATION

urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization urn:oid:2.16.756.1.2.5.1.1.4

HTTP_HOMEORGANIZATIONTYPE

urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganizationType urn:oid:2.16.756.1.2.5.1.1.5

HTTP_STUDYBRANCH1

urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch1 urn:oid:2.16.756.1.2.5.1.1.6

HTTP_STUDYBRANCH2

urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch2 urn:oid:2.16.756.1.2.5.1.1.7

HTTP_STUDYBRANCH3

urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch3 urn:oid:2.16.756.1.2.5.1.1.8

HTTP_STUDYLEVEL

urn:mace:switch.ch:attribute-def:swissEduPersonStudyLevel urn:oid:2.16.756.1.2.5.1.1.9

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 19

Cenrios de implementao do Shibboleth

A natureza da sua organizao, webstore e contrato de distribuio de softwares determina quais dos atributos descritos em Tabela2 so exigidos pela Kivuto e quais das configuraes descritas em Tabela3 devem ser configuradas para implementar com sucesso a verificao do Shibboleth. Esta seo descreve os cenrios mais comuns de implementao do Shibboleth e resume as exigncias especficas de cada implementao. Cenrio 1: WebStore organizacional do ELMS para um nico membro de federao Cenrio 2: Webstore departamental do ELMS para um nico membro de federao Cenrio 3: WebStore do ELMS integrada para um nico membro de federao Cenrio 4: WebStore do ELMS para TODOS os membros de uma federao

CENRIO 1: WEBSTORE ORGANIZACIONAL DO ELMS PARA UM NICO MEMBRO DE FEDERAO

Nesse cenrio, uma webstore do ELMS implementada para um nico membro da federao (organizao), sob um contrato que abrange toda a organizao (por exemplo, DreamSpark Standard). A organizao diretamente integrada federao, sem que os usurios tenham de escolher a organizao atravs do uso de servios de deteco (WAYF). Os requisitos de implementao para o Cenrio 1 so os seguintes. Consulte Tabela2 e Tabela3 para obter uma descrio de cada atributo e configurao relacionados, e para atributos/configuraes adicionais opcionais.
Requisitos de atributo: Identificador exclusivo de um usurio. Por exemplo: eduPersonTargetedID ID persistente UID eduPersonPrincipalName Identificador de qualificao (grupo de usurios) para um usurio. Por exemplo: eduPersonScopedAffiliation eduPersonAffiliation eduPersonPrimaryAffiliation isMemberOf (para grupos de usurios Requisitos de configurao do ELMS: Na pgina de Configuraes de Verificao da Webstore e5: Selecione sua federao da lista suspensa Terceiro Confivel. Identifique o seu provedor de servios de deteco no campo ID de Entidade do Provedor de Identidade. Fornea um Endereo de e-mail do Administrador.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 20

personalizados) eduPersonEntitlement (para grupos de usurios personalizados)

CENRIO 2: WEBSTORE DEPARTAMENTAL DO ELMS PARA UM NICO MEMBRO DE FEDERAO

Nesse cenrio, uma webstore do ELMS implementada para um departamento especfico de um membro da federao (organizao), sob um contrato departamental (por exemplo, DreamSpark Premium). Importante: Um parmetro correspondente ao Cdigo Externo da Organizao do departamento deve ser fornecido neste cenrio para que o acesso seja restrito aos membros do departamento elegvel. Os requisitos de implementao para o Cenrio 2 so os seguintes. Consulte Tabela2 e Tabela3 para obter uma descrio de cada atributo e configurao relacionados, e para atributos/configuraes adicionais opcionais.
Requisitos de atributo: Identificador exclusivo de um usurio. Por exemplo: eduPersonTargetedID ID persistente UID eduPersonPrincipalName Identificador de qualificao (grupo de usurios) para um usurio. Por exemplo: eduPersonScopedAffiliation eduPersonAffiliation eduPersonPrimaryAffiliation isMemberOf (para grupos de usurios personalizados) eduPersonEntitlement (para grupos de usurios personalizados) Identificador da organizao (departamento) configurado para corresponder aoCdigo Externo da Organizao adequado. Por exemplo: isMemberOf eduPersonOrgUnitDN ou Requisitos de configurao do ELMS: Na pgina de Configuraes de Verificao da Webstore e5: Selecione sua federao da lista suspensa Terceiro Confivel. Identifique o seu provedor de servios de deteco no campo ID de Entidade do Provedor de Identidade. Fornea um Endereo de e-mail do Administrador. Selecione a opo Escopo de qualificao restrito para restringir a qualificao para os membros do departamento apropriado. (Observao: Esse o nico cenrio em que essa opo selecionada.)

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 21

CENRIO 3: WEBSTORE DO ELMS INTEGRADA PARA UM NICO MEMBRO DE FEDERAO

Nesse cenrio, uma webstore do ELMS integrada (ou seja, uma loja on-line que combina contratos organizacionais e de departamentos, de modo que alguns usurios so elegveis para acessar todas as ofertas enquanto outros so elegveis para acessar apenas algumas ofertas) implementada para um nico membro da federao (organizao). Os requisitos de implementao para o Cenrio 3 so os seguintes. Consulte Tabela2 e Tabela3 para obter uma descrio de cada atributo e configurao relacionados, e para atributos/configuraes adicionais opcionais.
Requisitos de atributo: Identificador exclusivo de um usurio. Por exemplo: eduPersonTargetedID ID persistente UID eduPersonPrincipalName Identificador de qualificao (grupo de usurios) para um usurio. Por exemplo: eduPersonScopedAffiliation eduPersonAffiliation eduPersonPrimaryAffiliation isMemberOf (para grupos de usurios personalizados) eduPersonEntitlement (para grupos de usurios personalizados) Identificador da organizao (departamento) configurado para corresponder aoCdigo Externo da Organizao adequado.** Por exemplo: isMemberOf eduPersonOrgUnitDN ou
**Observao: Se um valor correspondente ao Cdigo Externo da Organizao de um departamento no for aprovado, o usurio ainda poder entrar no site, mas ter acesso apenas aos produtos oferecidos por meio de programas organizacionais.

Requisitos de configurao do ELMS: Na pgina de Configuraes de Verificao da Webstore e5: Selecione sua federao da lista suspensa Terceiro Confivel. Identifique o seu provedor de servios de deteco no campo ID de Entidade do Provedor de Identidade. Fornea um Endereo de e-mail do Administrador.

CENRIO 4: WEBSTORE DO ELMS PARA TODOS OS MEMBROS DE UMA FEDERAO

Esse cenrio envolve uma webstore do ELMS implementada para todos os membros de uma federao.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 22

Durante o processo de logon, a WebStore encaminha o usurio a um site de servios de descoberta (WAYF) no qual escolhida a organizao qual pertencem. Os requisitos de implementao para o Cenrio 4 so os seguintes. Consulte Tabela2 e Tabela3 para obter uma descrio de cada atributo e configurao relacionados, e para atributos/configuraes adicionais opcionais.
Requisitos de atributo: Identificador exclusivo de um usurio. Por exemplo: eduPersonTargetedID ID persistente UID eduPersonPrincipalName Identificador de qualificao (grupo de usurios) para um usurio. Por exemplo: eduPersonScopedAffiliation eduPersonAffiliation eduPersonPrimaryAffiliation isMemberOf (para grupos de usurios personalizados) eduPersonEntitlement (para grupos de usurios personalizados) Requisitos de configurao do ELMS: Na pgina de Configuraes de Verificao da Webstore e5: Selecione sua federao da lista suspensa Terceiro Confivel. No insira um valor no campoID de Entidade do Provedor de Identidade (em vez disso, servios de deteco sero usados). Fornea um Endereo de e-mail do Administrador.

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 23

Suporte
Se tiver dificuldades ao configurar o Shibboleth para o ELMS ou necessitar de assistncia tcnica, envie um e-mail para shibboleth_support@kivuto.com. Lembre-se de incluir o seguinte em seu e-mail: Nome do cliente Nome do contato E-mail do contato Telefone do contato Nmero da conta do ELMS Descrio detalhada do problema ou solicitao de informaes

Verificao Shibboleth de Usurio: Guia de implementao do cliente | 2013-11-19 | 24