https://wiki.niif.hu/index.php?title=Speci%C3%A1lis:%C3%9Aj_lapok&feed=atom&hideredirs=1&limit=50&offset=&namespace=0&username=&tagfilter=&size-mode=max&size=0KIFÜ Wiki - Új lapok [hu]2024-03-28T20:28:25ZInnen: KIFÜ WikiMediaWiki 1.30.0https://wiki.niif.hu/index.php?title=GoogleAuth_SAMLGoogleAuth SAML2024-03-05T18:09:25Z<p>Dattila(AT)niif.hu: </p>
<hr />
<div>SimpleSAMLphp proxy-t használva, a Google workspace fiókot is beköthetjük az eduID federációba.<br />
<br />
1. Felügyeleti konzolon: "Alkalmazások" => "Webes és mobilalkalmazások" => "Alkalmazás hozzáadaása" => "Egyéni SAML alkalmazás hozzáadása"<br />
<br />
2. "Alkalmazásnév": eduID, majd "Tovább"<br />
<br />
3. "Metadataadatok letöltése", majd "Tovább"<br />
<br />
4. "ACS URL": simplesamlphp belépési URL-ét másoljuk be (pl https://_domain_/simplesaml/module.php/saml/sp/saml2-acs.php/google-workspace ), "Entitásazonosító" mezőbe az előző oldalról a "Entitásazonosító" értékét (pl: https://accounts.google.com/o/saml2?idpid=123456), Névazonosító formátuma: "EMAIL", Névazonosító: "PRIMARY EMAIL"<br />
<br />
5. Attribútumok oldalon az alábbi attribútumokat és értékeket vegyük fel:<br />
"First name": "urn:oid:2.5.4.42"<br />
"Last name": "urn:oid:2.5.4.4"<br />
"Primary email": "urn:oid:0.9.2342.19200300.100.1.3"<br />
Majd befejezés<br />
<br />
6. "Felhasználói hozzáférés" résznél aktiváljuk a szolgáltatást a "BEKAPCSOLVA mindenki számára" opcióval<br />
<br />
7. A simpleSAMLphp metadata konvertálója ( https://idpurl/simplesaml/admin/metadata-converter.php ) segítségével alakítsuk át a letöltött XML-t és az eredményt mentsük el a "metadata/saml20-idp-remote.php" fájlba.<br />
<br />
8. config/authsources.php fájlban a "default-sp" => "entityID" -nél értéknél adjuk meg az "Entitásazonosító" értéket<br />
<br />
9. metadata/saml20-idp-hosted.php fájlban: "'auth' => 'google-workspace'"</div>Dattila(AT)niif.huhttps://wiki.niif.hu/index.php?title=Hub.eduid.huHub.eduid.hu2023-08-17T08:39:50Z<p>Dattila(AT)niif.hu: /* Regisztrációja hub.eduid.hu szolgáltatásba */</p>
<hr />
<div>Az o365.eduid.hu címen működő szolgáltatás utódja.<br />
<br />
Célja: eduID-val rendelkező végfelhasználók számára biztosít automatikus felhasználó létrehozást és licensz kiosztást felhős szolgáltatásokban (jelenleg Microsoft licenszek kiosztása)<br />
<br />
= Microsoft integráció =<br />
<br />
Microsoft Graph API-n keresztül létrehozza a felhasználót és affiliation (student, staff, member) alapján hozzárendeli csoportokhoz. A csoporthoz hozzá lehet rendelni licenszeket, illetve jogosultságokat, amit automatikusan megörököl a felhasználó<br />
<br />
Az o365.eduid.hu címen működő szolgáltatás utódja.<br />
<br />
Célja: eduID-val rendelkező végfelhasználók számára biztosít automatikus felhasználó létrehozást és licensz kiosztást felhős szolgáltatásokban (jelenleg Microsoft licenszek kiosztása)<br />
<br />
== Szükséges beállítások Microsoft oldalról ==<br />
<br />
1. Készítsünk egy Office 365 tenant-ot, ha még nincs: https://learn.microsoft.com/hu-hu/microsoft-365/education/deploy/create-your-office-365-tenant<br />
<br />
2. A https://portal.azure.com oldalon bejelentkezve, hozzunk létre 1-1 biztonsági csoportot a tanulók és a dolgozók részére. Jegyezzük fel a csoportok objektumazonosítóját<br />
<br />
3. Ahhoz, hogy a hub.eduid.hu szolgáltatás kezelni tudja a létrehozott tenant-ot, regisztráljunk egy új alkalmazást: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/CreateApplicationBlade (ajánlott név: hub.eduid.hu)<br />
Mentsük el a generált "Alkalmazás (ügyfél) azonosítója" értéket<br />
<br />
4. Az alkalmazáshoz készítsünk egy új titkos ügyfélkódot, majd a generálás végén mentsünk el a titkos ügyfélkód "Érték" mező értékét. [[Fájl:Tanúsítvány.png|right|bélyegkép]]<br />
<br />
5. A létrehozott alkalmazáshoz állítsuk be a szükséges jogosultságokat:<br />
<br />
[[Fájl:API engedélyek hozzáadása.png|right|bélyegkép]]<br />
<br />
* User.ReadWrite.All<br />
* Group.ReadWrite.All<br />
* Directory.ReadWrite.All<br />
* GroupMember.ReadWrite.All<br />
* MailboxSettings.Read<br />
* MailboxSettings.ReadWrite<br />
<br />
"Rendszergazda jogosultság megadása..." gombbal fogadjuk el az új beállításokat<br />
<br />
6. A SAML login bekapcsolásának egyelőre sajnos nincs webes beállítási lehetősége, a Microsoft-tól sem kaptunk ezügyben iránymutatást, ezért ezt PowerShell-en keresztül kell megtenni.<br />
<br />
'''Figyelem!''' Ha bekapcsoljuk a domain-ra a SAML alapú (Federated) bejelentkezést, akkor már csak azon keresztül lehet bejelentkezni az adott domainre, nincs lehetőség, vegyeshasználatra! Csak akkor hatjsuk végre a beállítást, ha rendben megtörtént a hub.eduid.hu és Microsoft közötti kapcsolat és megfelelően létrejöttek a felhasználók!<br />
<br />
Indítsunk egy PowerShell-t, majd adjuk ki a ''Connect-MsolService'' parancsot (ha nincs még feltelepítve, akkor a Install-Module MSOnline paranccsal lehet). Jelentkezzünk be adminisztrátori fiókunkkal.<br />
[[Fájl:PowerShell.png|bélyegkép|jobbra]]<br />
Állítsuk be az alábbi változókat:<br />
<br />
$dom = _domain amire engedélyezzük a Federációs bejelentkezést_<br />
$BrandName = _intézmény neve_<br />
$LogOffUrl = _IdP kijelentkezési URL-je_ <br />
$ecpUrl = _IdP bejelentkezési URL-je_<br />
$MyURI = _IdP entity ID-ja_<br />
$MySigningCert = _IdP selfsigned tanúsítványa_<br />
$Protocol = "SAMLP"<br />
<br />
Példa:<br />
<br />
$dom = "kifu.gov.hu" <br />
$BrandName = "Kormányzati Informatikai Fejlesztési Ügynökség" <br />
$LogOffUrl = "https://idp.niif.hu/simplesaml/saml2/idp/SingleLogoutService.php" <br />
$ecpUrl = "https://idp.niif.hu/simplesaml/saml2/idp/SSOService.php"<br />
$MyURI = "https://idp.niif.hu/shibboleth"<br />
$MySigningCert = "MIID3zCCAsegAwIBAgI......XEhu3Otgo=" <br />
$Protocol = "SAMLP"<br />
<br />
Majd futtassuk le:<br />
<br />
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $BrandName -Authentication Federated -PassiveLogOnUri $ecpUrl -ActiveLogOnUri $ecpUrl -SigningCertificate $MySigningCert -IssuerUri $MyURI -LogOffUri $LogOffUrl -PreferredAuthenticationProtocol $Protocol<br />
<br />
Ha nem ad vissza semmilyen hibaüzenetet, akkor az office.com -ra való bejelentkezéssel tudjuk tesztelni. Miután beírtuk az e-mail címet a bejelentkező ablakban, akkor át fog irányítani a böngésző az IdP-nkre.<br />
<br />
Bejelentkezési mód visszaállítása:<br />
<br />
Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed<br />
<br />
== Szükséges beállítások IdP oldalon ==<br />
<br />
A korábbiakhoz képest nincs változás. Leírása: [[O365_SAML|https://wiki.niif.hu/O365_SAML]]<br />
<br />
== Regisztrációja hub.eduid.hu szolgáltatásba ==<br />
<br />
Az alábbi paramétereket kell megküldeni az ügyfélszolgálati e-mail címünkre (info@eduid.hu):<br />
* teantID ("Bérlő azonosítója")<br />
* domain nevek, ami alatt a felhasználókat létre kell hozni ("Egyéni tartománynevek"-nél felvett domain-ek, amiket kezelni kell)<br />
* affiliation alapján melyik csoportokba helyezzük át a felhasználókat. Ehhez szükséges egy affiliation és groupID összerendelés (pl student-ek kerüljenek az XY csoportba)<br />
* a létrehozott alkalmazáshoz tartozó "Alkalmazás (ügyfél) azonosítója" és a titkos ügyfélkód<br />
* domain nevek, ami alatt a felhasználókat létre kell hozni<br />
<br />
Jelszavakat, bizalmas információkat érdemes egyszer használatos linken keresztül küldeni, pl a https://pwpush.einfra.hu/ szolgáltatáson</div>Dattila(AT)niif.hu