„HREF Key Rollover 2020” változatai közötti eltérés
(bevezető) |
|||
9. sor: | 9. sor: | ||
=== Elnevezések === | === Elnevezések === | ||
− | HREF 2011 | + | HREF 2011 - meg kéne magyarázni őket |
HREF 2015 | HREF 2015 | ||
42. sor: | 42. sor: | ||
− | == Shibboleth Service Provider | + | == Shibboleth Service Provider beállítások == |
https://wiki.shibboleth.net/confluence/display/SP3/MetadataProvider | https://wiki.shibboleth.net/confluence/display/SP3/MetadataProvider | ||
154. sor: | 154. sor: | ||
], | ], | ||
</syntaxhighlight> | </syntaxhighlight> | ||
+ | |||
+ | == FAQ /GYIK == | ||
+ | |||
+ | * Miért cserél KIFÜ kulcsot? | ||
+ | * IdP-t érinti? | ||
+ | * Mi a helyzet az eduGAIN-t használó SP-kkel? | ||
+ | * Hogyan tudom ellenőrízni, hogy jó kulcsot használok? |
A lap 2020. november 10., 19:53-kori változata
Tartalomjegyzék
Bevezetés
A HREF új metadata aláíró kulcsra áll át a SAML 2.0 metaadataiban. Ehhez HREF szövetségi tagnak és partnernek új metadata aláíró kulcsokat konfigurálni és be kell töltenie az eduID.hu-t támogató rendszereiben. Ezt mostantól 2021. május 1-ig kell megtenni. Ezt követően a régi (több mint 6 éves) kulcs letiltásra kerül, és a felhasználók már nem tudnak bejelentkezni egy olyan szolgáltatásba, amely még mindig a régi kulcsot használja.
A szokásos SP szoftverekben a változtatásnak egyszerűnek és jelentős leállás nélkül kell történnie. Lásd a beállításokat.
Key Rollover
A metadata aláíró kulcs csere miatt szükséges a meglévő SP beállítások módosítása.
Elnevezések
HREF 2011 - meg kéne magyarázni őket
HREF 2015
HREF 2020
Domain név változások
HREF 2011
Kulcs | Domain | Technikai domain | Állapot |
---|---|---|---|
HREF 2011 | metadata.eduid.hu | metadata-2011.eduid.hu | Jelenlegi éles szolgáltatás |
HREF 2020 | - | metadata-2020.eduid.hu | Bevezetés alatt |
HREF 2015
Kulcs | Domain | Technikai domain | Állapot |
---|---|---|---|
HREF 2015 | mdx.eduid.hu | mdx-2015.eduid.hu | Jelenlegi éles szolgáltatás |
HREF 2020 | - | mdx-2020.eduid.hu | Bevezetés alatt |
Shibboleth Service Provider beállítások
https://wiki.shibboleth.net/confluence/display/SP3/MetadataProvider
XML
1 <MetadataProvider type="Chaining">
2 <MetadataProvider type="XML" id="href-2011" url="http://metadata.eduid.hu/current/href.xml" backingFilePath="href-2011.xml">
3 <MetadataFilter type="Signature" certificate="href-metadata-signer-2011.crt"/>
4 <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000"/>
5 </MetadataProvider>
6 <MetadataProvider type="XML" id="href-2020" url="http://metadata.eduid.hu/current/href.xml" backingFilePath="href-2020.xml">
7 <MetadataFilter type="Signature" certificate="href-metadata-signer-2020.crt"/>
8 <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000"/>
9 </MetadataProvider>
10 </MetadataProvider>
MDX
Shibboleth 3.X
1 <MetadataProvider type="MDQ" id="href-2015" ignoreTransport="true" baseUrl="https://mdx.eduid.hu/">
2 <MetadataFilter type="Signature" certificate="mdx-test-signer-2015.crt"/>
3 <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000"/>
4 </MetadataProvider>
5 <MetadataProvider type="MDQ" id="href-2020" ignoreTransport="true" baseUrl="https://mdx.eduid.hu/">
6 <MetadataFilter type="Signature" certificate="href-metadata-signer-2020.crt"/>
7 <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000"/>
8 </MetadataProvider>
Shibboleth 2.X
1 <MetadataProvider type="Dynamic" id="href-2015" ignoreTransport="true">
2 <Subst>https://mdx.eduid.hu/entities/$entityID</Subst>
3 <MetadataFilter type="Signature" certificate="mdx-test-signer-2015.crt"/>
4 </MetadataProvider>
5 <MetadataProvider type="Dynamic" id="href-2020" ignoreTransport="true">
6 <Subst>https://mdx.eduid.hu/entities/$entityID</Subst>
7 <MetadataFilter type="Signature" certificate="href-metadata-signer-2020.crt"/>
8 </MetadataProvider>
SimpleSAMLphp
MDX
1 //config/config.php
2 'metadata.sources' => [
3 ['type' => 'flatfile'], // ez a *-hosted metadata konfiguráció betöltése miatt szükséges
4 [
5 'type' => 'mdq',
6 'server' => 'https://mdx.eduid.hu',
7 /* --- */
8 'validateFingerprint' => '91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43'
9 ],
10 [
11 'type' => 'mdq',
12 'server' => 'https://mdx.eduid.hu',
13 /* --- */
14 'validateFingerprint' => 'C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61'
15 ],
16 ],
metarefresh
1 // config/config-metarefresh.php
2 $config = [
3 'sets' => [
4 'href-2011' => [
5 'cron' => ['hourly'],
6 'sources' => [
7 [
8 'src' => 'https://metadata.eduid.hu/current/href.xml',
9 'validateFingerprint' => 'FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66',
10 ],
11 ],
12 'expireAfter' => 60*60*24*7, // Maximum 4 days cache time.
13 'outputDir' => 'metadata/metarefresh-href-2011/',
14 'outputFormat' => 'flatfile',
15 ],
16 'href-2020' => [
17 'cron' => ['hourly'],
18 'sources' => [
19 [
20 'src' => 'https://metadata.eduid.hu/current/href.xml',
21 'validateFingerprint' => 'C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61',
22 ],
23 ],
24 'expireAfter' => 60*60*24*7, // Maximum 4 days cache time.
25 'outputDir' => 'metadata/metarefresh-href-2020/',
26 'outputFormat' => 'flatfile',
27 ],
28 ],
29 ];
1 // config/config.php
2 'metadata.sources' => [
3 ['type' => 'flatfile'],
4 ['type' => 'flatfile', 'directory' => 'metadata/metarefresh-href-2011'],
5 ['type' => 'flatfile', 'directory' => 'metadata/metarefresh-href-2020'],
6 ],
FAQ /GYIK
- Miért cserél KIFÜ kulcsot?
- IdP-t érinti?
- Mi a helyzet az eduGAIN-t használó SP-kkel?
- Hogyan tudom ellenőrízni, hogy jó kulcsot használok?