...
| Warning | ||
|---|---|---|
| ||
Houd er rekening mee dat de metadata en de metadata locaties die gebruikt worden voor de test- en productieomgevingen van SURFconext verschillen. Gebruik ze als volgt:
|
...
De Identity Servers biedt centrale authenticatie- en identity informatie voor alle applicaties. Dit gebeurt op basis van één of meerdere directories (NetIQ eDirectory, Active Directory of een LDAP server) waarin deze informatie is opgeslagen. Verder kunnen aan een Identity Server IdPs en SPs worden gekoppeld. Voor SURFconext zijn dit een SAML 2.0 IdP en SP. Hierbij dienen ook attribute sets te worden aangemaakt, waarin gedefinieerd wordt welke gegevens (attributen) van de IdP naar de SP (of van SP naar IdP) worden overgestuurd in de SAML communicatie. Het gaat dan onder meer om naam en emailadres e-mailadres van de betreffende gebruiker die wil inloggen. De attributen moeten conform de afspraken binnen SURFconext worden aangeleverd, dat wil zeggen met de juiste attribuutnaam en de juiste afspraken voor de waarde. Deze zijn voor SURFconext gedefinieerd op deze pagina. De hier gedefinieerde informatie moet passen op de attributen die NetIQ Access Manager kent. Dat is vaak niet vanzelf zo en daarom dient er voor de attribute sets ook een attribute mapping te worden gemaakt. Bij het aanmaken gebeurt dit tegelijk.
...
- SURFconext als IdP toevoegen voor NetIQ Access Manager.
- Een reverse proxy toevoegen voor de dienst die wilen willen aanbieden.
- Controle van de configuratie.
...
Ga naar ‘Devices/Identity Servers/IDP-cluster’. Ga naar de tab ‘SAML 2.0’. Klik op de zojuist aangemaakte SP (SURFconext genoemd in ons voorbeeld). Klik nu op de tab ‘Metadata’ en zoek het signing certificate. Zie de figuur hieronder.
Selecteer en kopieer het singing certificate (zoals in de figuur). Ga nu naar ‘Security/Trusted Roots’ en klik op ‘import’. U krijgt dan het onderstaande scherm te zien (dat in ons voorbeeld reeds is ingevuld):
Geef het certificaat een beschrijvende naam (hier dus ‘SURFconext token signing’) en selecteer ‘Certificate data text’ en plak hierin het gekopieerde certificaat. Let op: U bent niet klaar, want in de regel boven het certificaat moet staan '--BEGIN CERTIFICATE--' en in de regel onder het certificaat (niet in beeld in de figuur) '--END CERTIFICATE----'. Hiermee creëren we een geldig PEM certificaat, zoals NetIQ Access Manager het graag ziet.
...
We zullen in deze handleiding alleen de eerste mapping maken.
In het scherm dat we nu te zien krijgen (zie hieronder) kiezen we de local attribute waarde. Let op dat voor de meeste attributen een naam die in LDAP voorkomt gekozen moet worden (aangegeven met ‘LDAP Attribute:’).
Vul voor ‘remote attribute’ de volledige urn in zoals gespecificeerd op de SURFnet attributenschema pagina.
...
Klik op ‘OK’ en herhaal dit voor de overige attributen. Let erop dat u de attributen mapping zorgvuldig en correct kiest. Dus het locale attribuut bij ‘urn:mace:dir:attribute-def:mail’ moet voor iedereen daadwerkelijk wijzen naar een geldig emailadrese-mailadres. Verder merken we nog op dat voor schacHomeOrganization we een ‘Constant’ moeten kiezen met als waarde de domeinnaam van de IdP. In ons geval ‘m-7.nl’.
...
Uiteindelijk updaten we de clusterconfiguratie onder ‘Devices/Identity Servers’. Vergeet deze stap niet!
4.6. Compatibiliteits problemen Compatibiliteitsproblemen met diensten
Er is bekend dat er compatibiliteits problemen compatibiliteitsproblemen zijn tussen NetIQ AM als IdP en SPs welke werken met Microsoft (.Net). Deze problemen worden veroorzaakt door het anders interpreteren van de SAML2.0 specificatie. Volgens Microsoft kan een URI alleen een absolutie URI (zie wikipedia voor uitleg over URIs) zijn terwijl NetIQ AM ook gebruik maakt van URI verwijzingen (zoals ook mogelijk is volgens de SAML2.0 en XSD specificatie). Om deze problemen voor te zijn adviseren wij om het authenticatie contract van de NetIQ AM IdP aan te passen.
...
Aan de configuratie in het overzichtscherm overzichtsscherm is nu de volgende regel toegevoegd:
...
Indien u nu in hier op Test-SP klikt kunt u nog specifieke settings instellingen aanbrengen. Het is afhankelijk van de dienst welke settings nodig zijn.
Klik nu in het overzichtsscherm op ‘NAM-Service’ (de overkoepelende configuratie voor de nieuwe reverse proxy). Ga nu naar de tab ‘Protected Resources’. Dan komen we in het volgende scherm:
...
Klik in dit scherm op ‘New’. En vul een naam in :
en klik op ‘OK’.
In het volgende scherm vullen we een beschrijving in en een URL path. dat moet hetzelfde zijn als we eerder hebben ingevuld, namelijk namsp. Hiermee gaan we authenticatie afdwingen voor alles wat zich achter dit pad bevindt.
...