Aktuelles

Ab dem 15.12.2016 wird für Dienste der RWTH, die über Shibboleth angebunden sind, eine neue Version des Shibboleth Identity Provider (IdP) verwendet.

Grund für das Upgrade ist ein größerer Versionssprung (Von IdP Version 2.5 auf 3.0). Zudem wurde der Security Support des bisherigen IdP im Juli 2016 eingestellt.

Was nun folgen muss, sind Umstellungen auf Seiten der Service Provider. Anleitungen finden Sie als SP-Verantwortlicher auf den untergeordneten Seiten. 

Was ändert sich für den Anwender?

Die zentrale Login-Seite der RWTH Aachen hat ein komplett neues Design bekommen – dieses ist angelehnt an das Corporate Design der Hochschule. Der Identity Provider 3 bietet auch einige neue Funktionen. Eine davon betrifft die Datentransparenz zwischen dem Kunden und dem Service Provider (SP), bei dem sich der Kunde anmeldet. Dem Kunden wird angezeigt, welche Attribute er dem SP übergibt. Er hat dann selbst die Möglichkeit zu entscheiden, ob er diese Informationen liefern möchte oder nicht. Wenn er die Freigabe ablehnt, kann er diesen Dienst allerdings entsprechend nicht nutzen. Zudem hat sich die Login-URL geändert: statt "login.rz.rwth-aachen.de" nun "sso.rwth-aachen.de".

Ablauf der Anbindung eines neuen Shibboleth Service Providers (kurz: SP)


Erstellen eines Request for Change (RFC)

Zusammen mit dem IdM-Team füllt der Kunde einen RFC aus.

 Die Spezifikation im RFC enthält u.a.:
  • Authentifizierter Personenkreis
  • Anzahl zu authentifizierender Nutzer (ca.)
  • Ansprechpartner
  • URL(s) zu den geschützen Anwendungen
  • EntityID des Shibboleth Service Providers (SP)
  • URL zur SP-Metadatenseite
  •  Gültigkeit des Zertifikates

    Mit OpenSSL:

  • Genutzte Attribute

siehe auch Attribute in der DFN-AAI 

Abstimmung des Request for Change (RFC)

Die finale Version dieses RFC legt der Kunde dem Datenschutzbeauftragten der RWTH Aachen zur Einsicht und Genehmigung vor. Eine Korrektur ist nur in begründeten Ausnahmefällen noch möglich und bedarf einer erneuten Genehmigung durch das IdM-Team sowie des Datenschutzbeauftragten

Der Kunde richtet den Service Provider gemäß den Spezifikationen im RFC ein.

Installation des Service Provider (SP)


  •  Linux (deb-Paket)

    Erweitern der /etc/apt/sources.list:

    Apache und Shibboleth installieren

  •  Linux (rpm-Paket)

    Unterstützt werden derzeit: CentOS 5, CentOS 6, CentOS 7, RHEL 5, RHEL 6, SLE 10, SLE 11, SLE 11 SP1, SLE 11 SP2, SLE 11 SP3, SLE 11 SP4, SLE 12, SLE 12 SP1, openSUSE 13.1 und openSUSE 13.2

    Anlegen der Repo-Datei unter /etc/yum.repos.d/shibboleth.repo

    shibboleth.repo  Quelle erweitern

    \{VERSION\} durch die Entsprechende Distribution ersetzen (siehe Ordnerstruktur unter http://download.opensuse.org/repositories/security://shibboleth/)

    Nun kann Shibboleth installiert werden.

    Für 32Bit Systeme:

    Für 64Bit Systeme:

    Danach ist der Shibboleth SP installiert.

 

Konfiguration des ServiceProvider

Nach der Installation des ServiceProvider muss dieser noch konfiguriert werden.

  • Zertifikat erstellen und beantragen.
    Für die RWTH-Föderation akzeptieren wir i.d.R. nur Zertifikate der RWTH-CA.
    Mit OpenSSL kann auf dem Server direkt ein Zertifikat erstellt werden

  • Den generierten Private Key und das Zertifikat auf dem Server speichern und Speicherort merken
  • /etc/shibboleth/shibboleth2.xml bearbeiten:
    • Im Credential Resolver die Zertifikate eintragen

    • SSO eintragen

    • Metadaten Provider Eintragen

       Zertifikat für SignatureMetadataFilter der RWTH (oben: sso.pem)
    • Den Shibboleth neustarten

Beispiel shibboleth2.xml:

shibboleth2.xml  Quelle erweitern