Configuration du service SP de Shibboleth pour le chargement des métadonnées
Le service SP de Shibboleth pour les plateformes Unix et Windows peut être téléchargé du site de Shibboleth. Les instructions qui suivent ne concernent que la configuration de base.
Nous préconisons la lecture des documents que voici pour en apprendre davantage sur les fournisseurs de services :
Ajout des agrégats de production FIM au service SP de Shibboleth
Pour que votre service SP accepte les agrégats de production FIM après installation, modifiez le fichier /etc/shibboleth/shibboleth2.xml en y ajoutant les deux blocs MetadataProvider que voici, le premier pour les agrégats de production canadiens et le second pour les agrégats de production inter-fédération :
<MetadataProvider type="XML" uri="https://caf-shib2ops.ca/CoreServices/caf_metadata_signed_sha256.xml" backingFilePath="CAF-metadata.xml" reloadInterval="3600">
<MetadataFilter type="Signature" certificate="md_signer.crt"/>
</MetadataProvider>
<MetadataProvider type="XML" uri="https://caf-shib2ops.ca/CoreServices/caf_interfed_signed.xml" backingFilePath="caf_interfed_metadata.xml" reloadInterval="3600">
<MetadataFilter type="Signature" certificate="md_signer.crt"/>
</MetadataProvider>Ajout de l’agrégat d’essai FIM au service SP de Shibboleth
Pour que votre service SP accepte les agrégats d’essai FIM, modifiez le fichier /etc/shibboleth/shibboleth2.xml file en y ajoutant le bloc MetadataProvider que voici :
<MetadataProvider type="XML" uri="http://caf-shib2ops.ca/CoreServices/testbed/caf_test_fed_unsigned.xml"Remarquez que, dans ce cas, il n’y a pas vérification de la signature.
Configuration du SP de Shibboleth pour qu’il utilise le service de découverte central FIM
On peut configurer le service SP de Shibboleth de diverses manières pour qu’il aide l’utilisateur à se connecter au service. C’est ce qu’on appelle le « service de découverte » (Discovery Service), que l’on configure à la partie « Session » de la configuration de Shibboleth, dans /etc/shibboleth/Shibboleth2.xml.
On trouvera les documents de référence sur ce sujet à la partie « SSO », à l’adresse :
Par défaut, on recommande que le système GFI (FIM) utilise le service de découverte central FIM hébergé par CANARIE, auquel tous les sites ont accès.
La section pertinente de /etc/shibboleth/shibboleth2.xml ressemble à ceci :
<!-- Configures SSO for a default IdP. To allow for >1 IdP, remove
entityID property and adjust discoveryURL to point to discovery service.
(Set discoveryProtocol to "WAYF" for legacy Shibboleth WAYF support.)
You can also override entityID on /Login query string, or in RequestMap/htaccess.
-->
<SSO entityID="https://idp.example.org/idp/shibboleth"
discoveryProtocol="SAMLDS" discoveryURL=" https://caf-shib2ops.ca/DS/CAF.ds">
SAML2 SAML1
</SSO>Pour que les utilisateurs qui se connectent à votre service soient immédiatement dirigés vers un SP spécifique, modifiez le champ entityID en utilisant l’IdP de votre choix.
Pour un service de découverte local intégré ou un autre service de découverte central, modifiez discoveryURL en conséquence. discoveryProtocol devrait rester « SAMLDS ».
- Le discoveryURL de production de la FCA est : https://caf-shib2ops.ca/DS/CAF.ds
- Le discoveryURL d’essai de la FCA est : https://ds.caftest.canarie.ca/discovery/WAYF
Lecture recommandée pour en savoir plus sur les services de découverte intégrés : https://wiki.shibboleth.net/confluence/display/EDS10/Embedded+Discovery+Service