Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Configurare il rilascio degli Attributi da parte degli IdP della Federazione IDEM

INTRODUZIONE

La Federazione IDEM è interferderata tramite eduGAIN alle altre Federazioni di identità del settore Ricerca ed Istruzione attive a livello internazionale. Per questo gli utenti finali degli IdP della Federazione IDEM possono accedere a migliaia di Risorse (SP) grazie all’interfederazione eduGAIN. Talvolta però gli utenti non riescono ad accedere a queste Risorse a causa del mancato rilascio degli attributi da parte dell’IdP dell’utente alla Risorsa a cui l’utente si vuole collegare. La configurazione del rilascio degli attributi da parte dell’IdP può essere personalizzata per ogni SP, ma, poiché questa personalizzazione comporta un intervento manuale del manager dell’IdP, il risultato potrebbe essere un sistema che non scala con le migliaia di Risorse presenti in eduGAIN. La mancanza di automatismi nel rilascio degli attributi provoca degli errori nel processo di autenticazione-autorizzazione e di fatto impedisce agli utenti di collegarsi alle Risorse da loro scelte. L’introduzione del supporto alle Entity Category Research and Scholarship e Data Protection Code of Conduct abilita l’IdP ad implementare una configurazione scalabile per il rilascio controllato e personalizzato degli attributi a Risorse fidate.

Per garantire agli utenti l’accesso alle Risorse in eduGAIN e facilitare agli amministratori degli IdP le configurazioni dell’attribute-filter, il Servizio IDEM GARR AAI mette a disposizione una serie di filtri pronti e periodicamente aggiornati e le seguenti istruzioni.

Tipi di Filtri

Il Servizio IDEM GARR AAI mette a disposizione e mantiene aggiornate 4 tipologie di attribute-filter che l’IdP manager può scaricare ed utilizzare, come oggetti componibili, per soddisfare le proprie policy riguardo il rilascio degli attributi.

  1. Filtro per rispettare la policy di IDEM (rilascio degli attributi ePTID e ePSA a tutti) ed accedere correttamente agli SP di test della Federazione e al Registry.
  2. Filtro per accedere a tutte le Risorse della Federazione IDEM (i soli attributi veramente necessari all’accesso alle Risorse IDEM). Infatti tutti gli SP della Federazione IDEM sono stati vagliati dal Servizio IDEM GARR AAI e pertanto dovrebbero essere accettabili per ogni IdP della Federazione.
  3. Le risorse di eduGAIN che rispettano e fanno parte della R&S Entity Category.
  4. Le risorse di eduGAIN che rispettano e fanno parte della CoCo Entity Category.

Rilascio degli attributi da parte degli IdP Shibboleth v3.x

Gli IdP Shibboleth v3.x possono applicare facilmente le regole di filtraggio basate sulle Entity Category.
Questo produrrà la riduzione drastica della manutenzione all’attribute filter del proprio IDP per molti SP di eduGAIN (attuali e futuri).

La scelta della composizione della configurazione riguardo l’abilitazione di uno o più filtri è lasciata alla discrezione dell’IDP Manager.

Configurazione Manuale

Questa configurazione viene definita “Manuale” perché gli attribute filter messi a disposizione dal Servizio IDEM GARR AAI vengono scaricati manualmente sull’IDP dall’IDP manager e non vengono mai modificati a meno che non sia l’IDP manager stesso a cambiarli manualmente per il proprio IDP.

Istruzioni da seguire

Scaricare i seguenti filtri nella cartella appropriata del vostro IDP:

cd /opt/shibboleth-idp/conf
wget http://www.garr.it/idem-conf/attribute-filter-v3-idem.xml
wget http://www.garr.it/idem-conf/attribute-filter-v3-required.xml
wget http://www.garr.it/idem-conf/attribute-filter-v3-rs.xml
wget http://www.garr.it/idem-conf/attribute-filter-v3-coco.xml

Modificare il file “services.xml” per abilitare i filtri scaricati

vim /opt/shibboleth-idp/conf/services.xml

     %{idp.home}/conf/attribute-filter-v3-idem.xml
     %{idp.home}/conf/attribute-filter-v3-required.xml
     %{idp.home}/conf/attribute-filter-v3-rs.xml
     %{idp.home}/conf/attribute-filter-v3-coco.xml

Riavviare l’Attribute Filter Service del proprio Shibboleth IdP:

cd /opt/shibboleth-idp/bin
./reload-service.sh –id shibboleth.AttributeFilterService

Configurazione Automatica

Questa configurazione viene definita “Automatica” perché gli attribute filter messi a disposizione dal Servizio IDEM GARR AAI vengono scaricati automaticamente da Shibboleth IDP. In questo modo quando il Servizio IDEM GARR AAI decide di modificare i file di attribute filter, i nuovi files verranno prelevati e messi in esecuzione in modo automatico dall’IDP.

  1. Modificare il file “services.xml” per abilitare i filtri scaricati:

    
    
    
    
    
    
    
        %{idp.home}/conf/attribute-filter.xml
        
        
        
        
    
    
  2. Riavviare l’Attribute Filter Service del proprio Shibboleth IdP:

    cd /opt/shibboleth-idp/bin
    ./reload-service.sh –id shibboleth.AttributeFilterService
    

Rilascio degli attributi da parte degli IdP Shibboleth v.2

IDEM consiglia caldamente di aggiornare al più presto l’IdP alla v3.x di Shibboleth.
Se temporaneamente l’aggiornamento non è possibile, le istruzioni da applicare per il rilascio degli attributi (è possibile solo la configurazione manuale) sono le seguenti:

  1. Modificare il file “service.xml” per abilitare i filtri scaricati:

       vim /opt/shibboleth-idp/conf
    

    .....

    
        
        
        
        
    
    
  2. Scaricare i filtri da IDEM (per Shibboleth IDP v.2 vengono forniti 3 files, il primo di quali contiene il filtro Tipo 1 e il filtro Tipo 2):

      cd /opt/shibboleth-idp/conf
      wget http://www.garr.it/idem-conf/attribute-filter.xml -O attribute-filter-idem.xml
      wget http://www.garr.it/idem-conf/attribute-filter-v2-rs.xml -O attribute-filter-v2-rs.xml
      wget http://www.garr.it/idem-conf/attribute-filter-v2-coco.xml -O attribute-filter-v2-coco.xml
    
  3. Riavviare il container (Tomcat) per applicare le modifiche:

    service tomcat7 restart
    

Rilascio degli attributi da parte degli IdP SimpleSAMLphp

SimpleSAMLphp non implementa ancora il rilascio degli attributi basato sulle entity category. Il Servizio IDEM GARR AAI per gli IDP della Federazione IDEM basati su SimpleSAMLphp tiene aggiornato e fornisce un file che contiene i filtri di Tipo 1+2. Se sono state seguite le istruzioni di installazione e configurazione fornite da IDEM con la seguente guida:

https://www.idem.garr.it/documenti/doc_view/311-installazione-simplesamlphp-identity-provider-su-debian-linux

l prelievo del filtro per il rilascio degli attributi dovrebbe essere sincronizzato aggiungendo il seguente CRON job al proprio IdP:

*/30 * * * * /usr/bin/wget http://www.garr.it/idem-conf/module_attributepolicy_prod.php.txt -O /opt/simplesamlphp/config/module_attributepolicy.php

Tutti articoli tecnici