Table of Contents |
---|
...
Inleiding
In deze handleiding lees je hoe je jouw organisatie kunt aansluiten op SURFconext als Identity Provider met behulp van ADFS2.0 (in ADFS-terminologie Account Partner (AP) genoemd).
...
ADFS 2.0 (codenaam Geneva Server) is de opvolger van ADFS v1 zoals deze oorspronkelijk beschikbaar was op Windows Server 2003 R2 en Windows Server 2008. De belangrijkste wijziging ten opzichte van ADFS v1 is de ondersteuning van het SAML 2.0-protocol. Meer informatie over ADFS 2.0 kun je vinden op http://www.microsoft.com/windowsserver2008/en/us/ad-fs-2-overview.aspx.
Deze handleiding is gebaseerd op de release van ADFS 2.0 (5 mei 2010). Meer informatie over de installatie van ADFS 2.0 vind je op http://technet.microsoft.com/en-us/library/adfs2(WS.10).aspx.
Voor een step-by-step guide van Microsoft, handig als naslagwerk naast deze handleiding, zie: http://technet.microsoft.com/en-us/library/ff631096(WS.10).aspx.
Waarom server en proxy?
...
ADFS 2.0-Server inrichten
Inleiding
Voordat je de specifieke instellingen voor SURFconext kunt invoeren, moet je een basisinstallatie op de ADFS 2.0-server uitvoeren. Hiervoor moet je onderstaande stappen doorlopen:
...
- Installeer de juiste versie van het besturingssysteem op de server: Windows Server 2008 SP2 of Windows Server 2008 R2 (standaard of enterprise).
- Stel de tijd op de server correct in en zorg ervoor dat je deze synchroniseert met een time server.
- Neem de server op in het domein van de Active Directory waaruit de accounts voor de SURFconext federatie komen.
- Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL-servercertificaat heeft. Je kunt servercertificaten (onder meer) verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx of anders via een commerciële aanbieder.
...
- Download ADFS 2.0 Server via http://go.microsoft.com/fwlink/?linkid=151338 voor jouw platform (Windows Server 2008 SP2 of 2008 R2, 32 of 64 bits) en start de executable.
- Doorloop het begin van de procedure en accepteer de licentieovereenkomst.
- Selecteer 'Federation server' en klik op 'Next'.
...
ADFS 2.0-server configureren als Identity Provider
Inleiding
Om jullie gebruikers met hun instellingsaccount toegang te geven tot diensten van SURFconext, moet je de ADFS 2.0-server configureren als Identity Provider.
...
- Kies 'Start' -> 'All Programs' -> 'Administrative Tools' -> 'ADFS 2.0 Management' om de ADFS 2.0-configuratieapplicatie te starten.
Klik op 'Required: Add a trusted relying party'.
- Klik op 'Start'.
- Vul in het veld 'Federation metadata address (host name or URL)' de volgende URL in: https://engine.surfconext.nl/authentication/sp/metadata en klik op 'Next'.
- Vervang in het veld 'Display name' de default hostnaam (engine.surfconext.nl) door de naam 'SURFconext' en klik op 'Next'.
- Selecteer 'Permit all users to access this relying party' en klik op 'Next'.
- Klik in dit overzichtsvenster op 'Next'.
- Deselecteer 'Open the Edit Claim Rules dialog...' Met de 'Claims Rules dialog' worden de attributen geconfigureerd. Dit zie je later in het configuratieproces. Klik op 'Close' om deze configuratie af te ronden.
...
- Kies in de linkerkolom van het overzichtsvenster 'Trust Relationships' -> 'Relying Party Trusts'. Dubbelklik in de middelste kolom op SURFconext.
- Selecteer het tabblad 'Advanced' en kies in het veld 'Secure hash algorithm' de waarde 'SHA-1'.
- Klik op 'OK' om de configuratie voor SURFconext af te ronden.
ADFS 2.0-Proxy inrichten
Inleiding
Je hoeft de ADFS-proxy niet op een aparte machine te installeren. Je kunt een bestaande machine gebruiken die ook voor andere doeleinden wordt toegepast.
...
- Installeer de juiste versie van het besturingssysteem op de server: Windows Server 2008 SP2 of Windows Server 2008 R2 (standaard of enterprise).
- Stel de tijd op de server correct in en zorg ervoor dat je deze synchroniseert met een time server.
- Zorg ervoor dat je de server niet opneemt in het domein van de Active Directory waaruit de accounts voor de SURFconext federatie komen.
- Installeer Internet Information Services (IIS) en zorg dat deze een geldig SSL-servercertificaat heeft. Je kunt servercertificaten (onder meer) verkrijgen via de SURFcertificaten-dienst van SURFnet: http://www.surfnet.nl/nl/diensten/authenticatie/Pages/certificaten.aspx
- Zorg ervoor dat het certificaat van de IIS-installatie op de ADFS 2.0-server vertrouwd wordt door de ADFS 2.0 proxy-server. Als het certificaat van de ADFS2.0-server getekend is door een lokale Certificate Authority (zoals een Certificate Server in het Active Directory-domein), dan moet je het certificaat van de lokale Certificate Authority toevoegen in de 'Trusted Root Certificate'-store van het ADFS2.0-server computeraccount.
...
- de manier waarop gebruikers moeten inloggen; bijvoorbeeld in welk formaat de user identifier moet worden ingevoerd (bijvoorbeeld 'student nummers' of 'NetID')
- een waarschuwing dat (bijvoorbeeld bij gebruik op publieke terminals), uitloggen alleen gegarandeerd wordt als de browser wordt afgesloten
- dat de gebruiker bij het inloggen moet letten op een geldige HTTPS URL op de juiste server
Klik hier voor meer informatie over de richtlijnen voor het vormgeven van de loginpagina.
Attributen vrijgeven
Inleiding
Attributen zijn gebruikerskenmerken die de ADFS 2.0-server na een geslaagde authenticatie van een gebruiker kan toevoegen aan informatie die aan SURFconext wordt doorgegeven. Voorbeelden van attributen zijn het e-mailadres van de gebruiker of de naam van een groep waarvan de gebruiker lid is.
De set van gestandaardiseerde attributen die je binnen SURFconext kunt gebruiken, vind je hier:
Voordat SURFconext attributen kan gebruiken in het authenticatieproces, moet je ze vrijgeven aan SURFconext. Hieronder vind je een voorbeeld van 4 attributen: Name ID (loginnaam)
...