SUMRIO
Introduo ............................................................................................................................................... 1 Finalidade e pblico-alvo ............................................................................................................... 1 Termos mais utilizados................................................................................................................... 1 Viso global da verificao shibboleth de usurio .................................................................................... 3 O que verificao de usurio? ..................................................................................................... 3 O que Shibboleth? ...................................................................................................................... 3 Federaes do Shibboleth ............................................................................................................. 4 Como funciona o Shibboleth .......................................................................................................... 5 Diagrama de experincia do cliente ..................................................................................... 6 Resumo da Implementao do Shibboleth ..................................................................................... 6 Configure seu IdP .................................................................................................................................... 7 Metadados e IDs de entidade da Kivuto ......................................................................................... 7 Atributos ........................................................................................................................................ 7 Configurando o Shibboleth em sua webstore do ELMS .......................................................................... 12 Configurando o Shibboleth como Tipo de Verificao da webstore ............................................... 12 Configurando a verificao do Shibboleth .................................................................................... 13 Guia Detalhes .................................................................................................................... 13 Guia Configuraes ........................................................................................................... 13 Guia Diagnsticos.............................................................................................................. 15 Como testar a integrao....................................................................................................................... 16 Como testar o fluxo de trabalho ................................................................................................... 16 Validao ..................................................................................................................................... 16 Soluo de problemas ................................................................................................................. 17 Cenrios de implementao do Shibboleth ............................................................................................ 20 Cenrio 1: Webstore organizacional do ELMS para um nico membro de federao ................... 20 Cenrio 2: WebStore departamental do ELMS para um NICO membro de federao ................ 21 Cenrio 3: WebStore do ELMS integrada para um NICO membro de federao ........................ 22 Cenrio 4: WebStore do ELMS para TODOS os membros de uma federao .............................. 22 Suporte ................................................................................................................................................. 24
Introduo
Esta seo aborda as seguintes reas: Finalidade e pblico-alvo Termos mais utilizados
FINALIDADE E PBLICO-ALVO
Este documento oferece a voc instrues detalhadas para o estabelecimento de um mecanismo de logon nico entre um provedor de identidade Shibboleth existente de um cliente da Kivuto e um WebStore do ELMS da Kivuto. Este documento destina-se principalmente aos Administradores do ELMS e equipe tcnica que gerenciam servios de identidade para sua organizao. Leia este documento juntamente com a ajuda on-line, disponvel no site e5 Administration.
Comprador WebStore
Webstore Organizacional
Definio/descrio Uma Webstore associada a um contrato de distribuio de software departamental (por exemplo, DreamSpark Premium). Somente os membros de um departamento de uma organizao so elegveis para o pedido de softwares atravs de Webstores desse tipo. Uma Webstore ELMS associada a diversos contratos de distribuio de software, do tipo que abrange toda a organizao e do tipo departamental. Todos os membros de uma organizao podem fazer logon em Webstores desse tipo e sero elegveis para o pedido de softwares oferecidos por contratos que abrangem toda a organizao. Os membros elegveis dos departamentos tero acesso aos softwares oferecidos por meio dos contratos departamentais. Mdulo de administrao segura no ELMS que contm funes para gerenciar uma webstore e configurar uma verificao do usurio. Esse mdulo pode ser acessado apenas por usurios autorizados. De http://shibboleth.net: O sistema Shibboleth System um pacote de software de cdigo-fonte aberto e baseado em padres para logon nico na Web dentro ou fora dos limites da organizao. Ele permite que os sites tomem decises de autorizao conscientes em relao ao acesso individual a recursos on-line protegidos de modo a manter a privacidade. Provedor de Identidade. O software usado por uma organizao com usurios que desejam acessar um servio restrito. Provedor de Servios. O software executado pelo provedor que gerencia o servio restrito (por exemplo, Kivuto). Nome exclusivo de um IdP ou um SP em uma implementao do Shibboleth. O valor do ID de entidade da Kivuto : https://e5.onthehub.com .
Webstore Integrada
ELMS Administration
Shibboleth
IdP
SP
ID de entidade
Metadados
Dados de configurao usados por IdPs e SPs para realizar a comunicao entre eles. Declaraes feitas por um IdP sobre uma pessoa, como um endereo de e-mail ou um identificador exclusivo. Cdigo fornecido por uma organizao ou sua organizao me para identific-la durante as comunicaes com um servio de verificao de de Logon nico, como o Shibboleth. Para webstores departamentais, um atributo correspondente a esse cdigo deve ser passado para limitar o acesso a membros do departamento elegvel. Where Are You From servios de descoberta
Atributos
WAYF
O QUE SHIBBOLETH?
O Shibboleth um mtodo de verificao de logon nico (SSO) que atingiu ampla adoo em todo o mundo. Os motivos para isso variam desde suas origens de fonte aberta ao seu modelo de proteo de privacidade, que oferece aos indivduos e s organizaes grande controle sobre quais informaes pessoais so disponibilizadas a terceiros. O Shibboleth normalmente usado por uma federao ou grupo de organizaes. Por exemplo, o InCommon uma federao de organizaes nos Estados Unidos. O Canadian Access Federation um grupo que oferece os servios Shibboleth a instituies de ensino do Canad. Para quem precisar de informaes bsicas sobre o Shibboleth, consulte o site do projeto em http://shibboleth.net. Demonstraes passo a passo do processo de logon esto disponveis em http://www.switch.ch/aai/demo/easy.html.
FEDERAES DO SHIBBOLETH
Os clientes que utilizam o Shibboleth com ELMS devem ser membros de uma federao que a Kivuto seja uma SP. Consulte Tabela1 para obter uma lista das federaes suportadas pela Kivuto. Tabela1: Lista de federaes Federao SWITCH InCommon Canadian Access Federation (CAF) UK Federation WAYFDK SWAMID Haka Belnet Edugate DFN eduGAIN IDEM RENATER ACO GRNET Pas Sua Estados Unidos Canad Reino Unido Dinamarca Sucia Finlndia Blgica Irlanda Alemanha Europa Itlia Frana ustria Grcia
ELMS
Descobert a (WAYF)
IdP do cliente
O comprador clica no link Registrar O comprador escolhe a organizao de origem O ELMS processa os atributos do comprador O comprador O comprador insere o nome de usurio e a senha
inicia as
compras!
+
Configure seu IdP Libere atributos para os IDs de entidade da Kivuto Configure o ELMS para se comunicar com seu IdP
ATRIBUTOS
O conjunto mnimo de declaraes de identidade exigido pela Kivuto : um identificador exclusivo de um comprador o o Isso permite que o comprador seja identificado em vrios logons.
uma lista de afiliaes de grupos Concede ao comprador acesso aos produtos restritos a membros de grupos especficos de usurio. Por exemplo, um produto pode estar disponvel apenas ao corpo docente e aos funcionrios.
Declaraes adicionais de identidade podem ser feitas (passadas durante a integrao) para personalizar ainda mais a WebStore do ELMS para seus usurios. Para obter uma lista de atributos, consulte a Tabela 2: Atributos, abaixo. Observao: Quais atributos devem ser transferidos depende do cenrio de implementao. Consulte Cenrios de implementao do Shibboleth para determinar quais atributos so necessrios para a sua implementao.
Tabela2: Atributos
Atributo eduPersonTargetedID
urn:mace:dir:attribute-def:eduPersonTargetedID: urn:oid:1.3.6.1.4.1.5923.1.1.1.10
Descrio Identificador exclusivo de um usurio. Se estiver opaco, convm usar a configurao Ocultar nome de usurio (consulte a Tabela 3: Configuraes).
uid
urn:mace:dir:attribute-def:uid urn:oid:0.9.2342.19200300.100.1.1
SwissEP_UniqueID
urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID urn:oid:2.16.756.1.2.5.1.1.1
eduPersonPrincipalName
urn:mace:dir:attribute-def:eduPersonPrincipalName urn:oid:1.3.6.1.4.1.5923.1.1.1.6
Identificador exclusivo de um usurio. Pode ser usado em combinao com outros IDs exclusivos. Neste caso, eduPersonPrincipalName ser o nome de usurio e o outro ID ser capturado como o identificador de membro em uma verificao de usurio.
eduPersonScopedAffiliation
urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9
Concede qualificao a um usurio atravs da associao do grupo de usurios. Os mapas de valor de atributo para o grupo de usurios so: Importante: Este atributo e os valores padro disponveis destinam-se serem passados a organizaes acadmicas. Organizaes corporativas podem precisar transferir diferentes parmetros para indicar a eligibilidade de seus usurios. Consulte seu gerente de conta para ver mais detalhes. Aluno -> Alunos Corpo Docente -> Corpo Docente Funcionrios -> Funcionrios Funcionrios-> Corpo Docente/Funcionrios Membro -> Alunos/Corpo Docente/Funcionrios
eduPersonAffiliation
urn:mace:dir:attribute-def:eduPersonAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.1
eduPersonPrimaryAffiliation
urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5
Atributo isMemberOf
urn:mace:dir:attribute-def:isMemberOf urn:oid:1.3.6.1.4.1.5923.1.5.1.1
Descrio Usado para grupo de usurios personalizado ou para mapeamento da organizao. Multivalor, use vrgulas ou dois pontos como delimitadores. Os valores podem ser qualificados, por exemplo, urn:mace:example.edu:groups:groupCode. A ltima parte dos valores qualificados usada ao fazer a correspondncia com os cdigos do sistema. Para grupos de usurios, ser feita a correspondncia dos valores com os campos Cdigo de Grupo de Usurios no site e5 Administration, na seo Usurios Grupos de Usurios. Quando correspondido, ser concedida ao usurio a associao ao grupo. Para as organizaes, ser feita a correspondncia dos valores com o campo Cdigo Externo da Organizao encontrado no site ELMS Administration aps ser fornecido para a Kivuto para a organizao da webstore ou em qualquer uma de suas organizaes afiliadas. Quando houver uma correspondncia, ser criada uma verificao de usurio, vinculando-o organizao que tenha grupos de usurios correspondentes. Isso pode ser usado, por exemplo, para especificar que um usurio membro de um departamento especfico. Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.
Atributo eduPersonEntitlement
urn:mace:dir:attribute-def:eduPersonEntitlement SAML2: urn:oid:1.3.6.1.4.1.5923.1.1.1.7
Descrio Usado para grupo de usurios personalizado ou para mapeamento da organizao. Consulte isMemberOf para obter detalhes sobre como os valores so mapeados. Os valores so URIs, URNs ou URLs. Quaisquer URNs pode ser usados (por exemplo, urn:mace:school.edu:exampleResource)Tanto o valor integral de URN (urn:mace:school.edu:exampleResource) e a parte da cadeia de caracteres especfica ao namespace (exampleResource) sero comparadas aos mapeamentos de grupo e organizao. Somente as URLs do formulrio http://[SP]/eligibility/[IdP]/[code] podem ser usadas. Elas no so passveis de resoluo. A parte de valor ([code]) ser comparada aos mapeamentos de grupo e organizao. Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.
ou
urn:mace:dir:attribute-def:ou urn:oid:2.5.4.11
Usado para mapeamento da organizao. Espera-se o uso de vrgulas ou dois pontos com diversos valores como delimitadores. Ser feita a correspondncia dos valores com o campo Cdigo Externo da Organizao (que pode ser encontrado na pgina da organizao do site ELMS Administration aps ser fornecido para a Kivuto). Quando houver uma correspondncia, ser criada uma verificao de usurio, vinculando-o organizao que tenha grupos de usurios correspondentes. Isso pode ser usado, por exemplo, para especificar que um usurio membro de um departamento especfico. Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.
Atributo eduPersonOrgUnitDN
urn:mace:dir:attribute-def:eduPersonOrgUnitDN urn:oid:1.3.6.1.4.1.5923.1.1.1.4
Descrio Usado para mapeamento da organizao. Os nomes distintos das entradas do diretrio que representam a unidade organizacional do usurio. Espera-se caracteres de barra vertical (|) com diversos valores como delimitadores. Os valores so esperados no formulrio DN, por exemplo, ou=Potions, o=Hogwarts, dc=hsww, dc=wiz. No exemplo, Potions seria o valor analisado e seria correspondido com os campos Cdigo Externo da Organizao (consulte ou). Observao: As organizaes com webstores departamentais devem transferir um atributo usado para mapeamento da organizao que corresponda ao seu Cdigo Externo da Organizao.
Surname
urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4
O sobrenome do usurio.
givenName
urn:mace:dir:attribute-def:givenName urn:oid:2.5.4.42
O nome do usurio.
mail
urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3
homeOrganization
urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization urn:oid:2.16.756.1.2.5.1.1.4
homeOrganizationType
urn:mace:switch.ch:attributedef:swissEduPersonHomeOrganizationType urn:oid:2.16.756.1.2.5.1.1.5
O tipo de organizao qual o usurio pertence. Um valor de universidade ou uas exigido para que o usurio receba qualificao acadmica (SWITCHaai).
Importante: Todas as tarefas descritas nesta seo devem ser executadas por um administrador registrado e ativo do ELMS conectado ao site ELMS Administration (https://e5.onthehub.com/admin). Ser necessrio um nmero de conta da organizao e um nome de usurio e senha vlidos para entrar no site.
GUIA DETALHES
Geralmente, no necessrio ou aconselhvel alterar os valores padro dos campos dessa guia. Tenha cuidado se desejar alterar os valores padro de Setor e de Verificaes Expiram em. A alterao desses valores pode corromper a implementao fazendo com que seus usurios finais no possam entrar na webstore do ELMS.
GUIA CONFIGURAES
A pgina Configuraes define todas as informaes de cliente (organizao) exigidas pela Kivuto. Consulte a Tabela 3: Configuraes. Observao: As configuraes necessrias dependem do cenrio de implementao. Consulte Cenrios de implementao do Shibboleth para determinar quais configuraes so necessrias para a sua implementao. Tabela3: Configuraes
Informaes Terceiro confivel Descrio Lista das federaes das quais a Kivuto membro (por exemplo, InCommon, SWITCHaai).
Descrio Servios de descoberta da federao (WAYF) podem ser ignorados fornecendo-se um valor a esta configurao. Se a WebStore for especfica de um IdP, este valor dever ser considerado como necessrio. O valor deve ser exatamente igual ao encontrado nos metadados. Por exemplo: urn:mace:incommon:myorg.edu ou https://shibboleth.myorg.edu
Endereo de email do indivduo (ou lista de distribuio) que receber mensagens de erro do ELMS.
Quando selecionada, esta configurao impede que o identificador exclusivo de um usurio seja exibido em vrios lugares na interface do usurio da WebStore. Isto ser til quando um nome de usurio formatado para a tela no for fornecido (ex., uma GUID) como parte do conjunto de atributos liberados do IdP.
A URL para o qual um usurio ser redirecionado ao sarem do SP do Shibboleth e da webstore. Se for deixado vazio, o usurio permanecer na WebStore ao fazer logoff e ser exibida uma mensagem semelhante seguinte: Voc entrou neste site, mas continua conectado ao seu sistema de logon nico. Se desejar fazer logoff completamente, ser NECESSRIO fechar o seu navegador.
Quando habilitado, os dados do estado do servidor so capturados para toda tentativa de logon, e a mais recente pode ser visualizada na guia Diagnsticos. Consulte a seo Soluo de problemas em Como testar sua integrao.
Descrio Se selecionado, os atributos de qualificao (ex., eduPersonScopedAffiliation) sero processados somente para usurios com atributos de acompanhamento contendo informaes de mapeamento da organizao (ou, eduPersonOrgUnitDN, isMemberOf, eduPersonEntitlement). Se estiver desmarcado, os atributos de qualificao sero processados para todos os usurios. Se os atributos de mapeamento da organizao de acompanhamento estiverem presentes, os usurios recebero a associao nas organizaes correspondentes. Caso contrrio, os usurios recebero a associao na organizao da WebStore. Esses dados podem ser vistos, aps o logon, examinando-se os registros de verificao do usurio correspondente (Usurios [selecionar usurio] Verificaes). Observao: Esta opo deve ser selecionada se voc estiver configurando o Shibboleth para uma webstore puramente departamental de modo que somente os membros do departamento apropriado receba qualificao. Esta a nica ocasio que essa opo deve ser selecionada.
GUIA DIAGNSTICOS
A pgina Diagnsticos exibe dados capturados durante as tentativas de logon recentes. Nada ser exibido a menos que o Modo Diagnstico seja habilitado por meio da pgina Configuraes (consulte Tabela 3: Configuraes).
Para obter detalhes sobre o que exibido, consulte a seo Soluo de problemas em Como testar sua integrao.
VALIDAO
Depois de obter xito na autenticao, importante verificar o perfil do usurio para garantir que todos os grupos de qualificao e as informaes de personalizao tenham sido definidos corretamente. Na WebStore do ELMS: 1. Clique no link Sua Conta/Pedidos, acima do banner da pgina. 2. Clique no link Detalhes da conta. Qualquer informao de personalizao transmitida ser exibida.
3. Retorne pgina Sua Conta/Pedidos e clique no link Sua Qualificao para exibir os grupos de qualificao aos quais sua conta foi atribuda. No site de administrao do ELMS: 1. No menu principal, clique em Usurios. 2. Busque pelo usurio desejado e clique em Nome de Usurio para navegar at a pgina de detalhes. Qualquer informao de personalizao transmitida ser exibida. 3. Clique na guia Verificaes. Para cada autenticao bem-sucedida, haver uma entrada contendo a lista esperada de grupos de qualificao.
SOLUO DE PROBLEMAS
Caso encontre problemas durante a autenticao, ou se as informaes de personalizao ou qualificao no tiverem sido criadas conforme o esperado para seus usurios, talvez seja til habilitar o Modo Diagnsticos (consulte Tabela3). Os dados capturados durante as tentativas de logon recentes, bem-sucedidas ou no, sero exibidos na guia Diagnsticos Clicar em uma tentativa de logon individual mostra a pgina Detalhes com as seguintes sees: Usurio o Nome de usurio, nome e sobrenome, endereo de e-mail. Vazio para tentativas sem sucesso. Verificaes de Usurio o Para cada organizao, o usurio era mapeado (via ou, isMemberOf etc.), para a verificao de usurio correspondente, junto com o identificador de membro exclusivo, a data de expirao da verificao e associaes do grupo de usurio. Vazio para tentativas sem sucesso. Variveis de servidor do Shibboleth o As variveis do servidor IIS que faziam parte da sesso do Shibboleth ativa durante a tentativa de logon. Se os atributos esperados no forem exibidos aqui, o servidor do Shibboleth os ter descartado devido a um mapeamento ou formatao de valor no suportado. Para uma anlise de como as entradas na seo Variveis de servidor do Shibboleth so mapeadas para os atributos do Shibboleth, consulte Tabela4: Variveis de servidor do Shibboleth.
Outras variveis de servidor o Outras variveis de servidor IIS ativas durante a tentativa de logon. Provavelmente, no til, mas presente no caso de uma varivel no ter sido classificada corretamente, e includa na seo Shibboleth acima.
Nome da varivel
HTTP_TARGETEDID
HTTP_PERSISTENTID HTTP_AFFILIATION
HTTP_ISMEMBEROF
urn:mace:dir:attribute-def:isMemberOf urn:oid:1.3.6.1.4.1.5923.1.5.1.1
HTTP_ACADEMICCAREER
urn:mace:dir:attribute-def:academicCareer rn:oid:1.3.6.1.4.1.5524.1.13
HTTP_PRINCIPALNAME
urn:mace:dir:attribute-def:eduPersonPrincipalName urn:oid:1.3.6.1.4.1.5923.1.1.1.6
HTTP_GIVENNAME
urn:mace:dir:attribute-def:givenName urn:oid:2.5.4.42
HTTP_MAIL
urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3
HTTP_SURNAME
urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4
HTTP_UID
HTTP_ENTITLEMENT
urn:mace:dir:attribute-def:eduPersonEntitlement urn:oid:1.3.6.1.4.1.5923.1.1.1.7
Nome da varivel
HTTP_OU
HTTP_ORGUNITDN
urn:mace:dir:attribute-def:eduPersonOrgUnitDN urn:oid:1.3.6.1.4.1.5923.1.1.1.4
HTTP_UNIQUEID
urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID urn:oid:2.16.756.1.2.5.1.1.1
HTTP_HOMEORGANIZATION
urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization urn:oid:2.16.756.1.2.5.1.1.4
HTTP_HOMEORGANIZATIONTYPE
urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganizationType urn:oid:2.16.756.1.2.5.1.1.5
HTTP_STUDYBRANCH1
urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch1 urn:oid:2.16.756.1.2.5.1.1.6
HTTP_STUDYBRANCH2
urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch2 urn:oid:2.16.756.1.2.5.1.1.7
HTTP_STUDYBRANCH3
urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch3 urn:oid:2.16.756.1.2.5.1.1.8
HTTP_STUDYLEVEL
urn:mace:switch.ch:attribute-def:swissEduPersonStudyLevel urn:oid:2.16.756.1.2.5.1.1.9
Requisitos de configurao do ELMS: Na pgina de Configuraes de Verificao da Webstore e5: Selecione sua federao da lista suspensa Terceiro Confivel. Identifique o seu provedor de servios de deteco no campo ID de Entidade do Provedor de Identidade. Fornea um Endereo de e-mail do Administrador.
Durante o processo de logon, a WebStore encaminha o usurio a um site de servios de descoberta (WAYF) no qual escolhida a organizao qual pertencem. Os requisitos de implementao para o Cenrio 4 so os seguintes. Consulte Tabela2 e Tabela3 para obter uma descrio de cada atributo e configurao relacionados, e para atributos/configuraes adicionais opcionais.
Requisitos de atributo: Identificador exclusivo de um usurio. Por exemplo: eduPersonTargetedID ID persistente UID eduPersonPrincipalName Identificador de qualificao (grupo de usurios) para um usurio. Por exemplo: eduPersonScopedAffiliation eduPersonAffiliation eduPersonPrimaryAffiliation isMemberOf (para grupos de usurios personalizados) eduPersonEntitlement (para grupos de usurios personalizados) Requisitos de configurao do ELMS: Na pgina de Configuraes de Verificao da Webstore e5: Selecione sua federao da lista suspensa Terceiro Confivel. No insira um valor no campoID de Entidade do Provedor de Identidade (em vez disso, servios de deteco sero usados). Fornea um Endereo de e-mail do Administrador.
Suporte
Se tiver dificuldades ao configurar o Shibboleth para o ELMS ou necessitar de assistncia tcnica, envie um e-mail para shibboleth_support@kivuto.com. Lembre-se de incluir o seguinte em seu e-mail: Nome do cliente Nome do contato E-mail do contato Telefone do contato Nmero da conta do ELMS Descrio detalhada do problema ou solicitao de informaes