Pro správce služeb využívajících eduID.cz Hostel autentizaci

eduID.cz Hostel IdP není zatím zapojen do federace eduID.cz. Náš plán je ho do federace zapojit co nejdříve, ale v současnosti to není možné. Problém je, že SP fungující v rámci eduID.cz očekávájí určitou úroveň ověření uživatele, a ta není u Hostelu splněna.

Hostel poskytuje SP informaci o tom, jak byl uživatel ověřen prostřednictvím atributu LoA (urn:oid:1.3.6.1.4.1.8057.2.1), který nabývá hodnot:

  1. Základní účet, kdy je ověřována jen fukčnost emailu.
  2. Ověřený účet, kdy byla identita uživatele ověřena pomocí státem vydaného dokladu a kdy byla ověřena příslušnost uživatele k organizaci.

Chcete-li k autentizaci na své službě využívat kromě IdP zapojených do eduID.cz i Hostelu, musíte provést drobné úpravy konfigurace.

Krom metadat eduID.cz musíte používat i samostatná metadata Hostelu a místo WAYFu federace musíte používat buď vlastní Discovery Service, anebo WAYF na hostelu.

Shrnutí technických informací

Příklady konfigurace Shibboleth SP 2.3

Do konfiguračního souboru shibboleth2.xml si do sekce MetadataProvider pod blok odkazující na metadata eduID.cz přidejte ještě odkaz na metadata Hostelu:

<MetadataProvider type="XML" uri="https://metadata.cesnet.cz/entities/hostel"
  backingFilePath="/var/run/shibboleth/hostel.xml" reloadInterval="1800">
 
  <MetadataFilter type="Signature" certificate="/etc/shibboleth/metadata.eduid.cz.crt"/>
</MetadataProvider>

Pokud nepoužíváte vlastní DS, najděte odkaz na https://www.eduid.cz/wayf a nahraďte ho odkazem na https://hostel.eduid.cz/wayf takto:

<SessionInitiator type="Chaining" Location="/DS" id="DS" isDefault="true" relayState="cookie">
  <SessionInitiator type="SAML2" acsIndex="1" template="bindingTemplate.html"/>
  <SessionInitiator type="Shib1" acsIndex="5"/>
  <SessionInitiator type="SAMLDS" URL="https://ds.eduid.cz/wayf.php?filter=eyJhbGxvd0hvc3RlbCI6IHRydWUsICJhbGxvd0hvc3RlbFJlZyI6IGZhbHNlLCJhbGxvd1NvY2lhbCI6IGZhbHNlfQ=="/>
</SessionInitiator>

Návrat uživatele po registraci

Hostel IdP umožnuje po úspěném dokončení registrace přesměrovat uživatele zpět na vaši aplikaci nebo její WAYF službu. Tato funkce vznikla, aby se uživatelé “neztráceli”, když po 4 krocích registrace na Hostelu zapomenou URL, ze kterého byli na registraci přesměrováni.

Chcete-li tuto službu využívat, stačí, když budete směrovat uživatele na registrační stránku Hostelu s vyplněným parametrem return.

Příklad:

https://adm.hostel.eduid.cz/registrace?return=https://vase.aplikace.cz/

Tato funkce má význam pro služby, které nevyžadují ověření identity uživatele (např. různé wiki). Pro tyto služby je upraven WAYF obsahující Hostel, stačí upravit SessionInitiator takto:

  <SessionInitiator type="SAMLDS" URL="https://ds.eduid.cz/wayf.php?filter=eyJhbGxvd0hvc3RlbCI6IHRydWUsICJhbGxvd0hvc3RlbFJlZyI6IHRydWUsImFsbG93U29jaWFsIjogZmFsc2V9"/>

Konfiguraci filtru pro WAYF provádějte pomocí služby https://ds.eduid.cz/filter.php výše uvedený filter umožnuje použití hostelu a registrace v Hostelu.

V případě té wiki by pak proces přihlášení úplně nového uživatele měl vypadat takto:

Wiki → Hostel IdP WAYF → Registrace do Hostel IdP → Hostel IdP WAYF → Přihlášení k Hostel IdP → Wiki. Pořád je to hodně klikání, ale je to relativně přímočaré.

Vynucení jazyka registrace

Hostel používá detekci jazyka na základě preferovaného jazyka který má uživatel nastavený v prohlížeči. Pokud vám to nevyhovuje, tak můžete jazyk vynutit parametrem lang, povolené hodnoty jsou cz a en.

https://adm.hostel.eduid.cz/registrace?lang=cz

Zdůraznění nutnosti ověření identity

Pokud Vaší aplikaci nestačí úživatelé s ověřenou emailovou adresou, volejte registrační formulář s parametrem LoA=2. V takovém případě

  • na první stránce registrace bude uživatel upozorněn že bude muset někam dojít,
  • po ukončení procesu registrace uživateli zdůrazní, že si ještě musí domluvit návštěvu na registračním úřadě.

Příklad:

https://adm.hostel.eduid.cz/registrace?LoA=2
CESNET eduID.cz MetaCentrum
 
 
Last modified: 2016/06/22 09:47