Služby poskytované Proxy IdP¶

• Table of contents
• Služby poskytované Proxy IdP
  • Filtr pro WAYF/DS (Where Are You From/Discovery Service)
    • Jak filtr předat Proxy IdP
      • a. Atributem AuthnContextClassRef v protokolu SAML2
      • b. Manuálním nastavením SP na Proxy
  • Přístup na konkrétní IdP bez WAYFu
  • Manuální nastavení eduPersonScopedAffiliation

Filtr pro WAYF/DS (Where Are You From/Discovery Service)¶

SP může ovlivnit seznam poskytovatelů identit na WAYF Proxy IdP. Jelikož je WAYF založen na CESNET WAYF (https://www.eduid.cz/cs/tech/wayf), konfigurace filtru se provádí přes https://ds.eduid.cz/filter.php.

Hodnotu filtru poté předat jako atribut filter.
Pro delší filtry doporučujeme hodnotu filtru uložit do souboru a odkaz na daný soubor předat jako attribut efilter.

Více informací o filtru naleznete na https://www.eduid.cz/cs/tech/wayf/sp v části Generátor filtrů

Jak filtr předat Proxy IdP¶

a. Atributem AuthnContextClassRef v protokolu SAML2¶

SP nastaví atribut AuthnContextClassRef:

• Pro filtr hodnotou : urn:cesnet:proxyidp:filter:[hodnota Vámi vygenerovaného filtru]
• Pro efiltr hodnotou : urn:cesnet:proxyidp:efilter:[odkaz na soubor s filtrem]

V případě naplnění obou filtrů současně bude použit efiltr.

Ukázka nastavení Shibboleth SP v shibboleth2.xml:

<!-- eduID.cz, eduGAIN, Social, Hostel  -->
<SessionInitiator entityID="https://login.cesnet.cz/idp/" type="SAML2" template="bindingTemplate.html" Location="/allfed" id="allfed" relayState="cookie" authnContextClassRef="urn:cesnet:proxyidp:efilter:https://perun.cesnet.cz/wayf/wayf-filter-allfed.txt" />

Ukázka nastavení Shibboleth SP přes Apache web server:

<Location abc>
  ...
  ShibRequestSetting authnContextClassRef urn:cesnet:proxyidp:efilter:https://perun.cesnet.cz/wayf/wayf-filter-allfed.txt
  ...
</Location>

b. Manuálním nastavením SP na Proxy¶

Filtr je též možné definovat na straně Proxy IdP. Tuto změnu musí provést správce Proxy IdP.
Žádost o přidání filtru posílejte na: support@cesnet.cz s entityId SP a hodnotou filtru/odkaz na soubor s filtrem.

---

V případě nevyužití ani jedné z těchto možností bude zvolen defaultFilter, který zahrnuje federace eduID.cz, eduGAIN,Social a StandaloneIdP

Přístup na konkrétní IdP bez WAYFu¶

Přímý přístup na konkrétní IdP lze nastavit pomocí atributu AuthnContextClassRef v protokolu SAML hodnotou urn:cesnet:proxyidp:idpentityid:[EntityId daného IdP]

Manuální nastavení eduPersonScopedAffiliation¶

Organizace, které nejsou zapojeny v eduID.cz a potřebují pro své uživatele zpřístupnit služby vyžadující ověření vztahu uživatele k organizaci, mohou využít funkci manuálního přiřazení vztahu osoby k organizaci. Organizace jmenuje odpovědné osoby, které mohou zkontrolovat, zda osoba žádající o potvrzení vztahu má opravdu formální vztah s organizací. Odpovědná osoba dostane přístup do systému Perun, kde uvidí žádosti uživatelů, které může schválit nebo zamítnout. Uživatelé pak mohou žádat pomocí identit ze sociálních sítí, tímto procesem je následně povýšena důvěra v tuto anonymní identitu.

Návod na použití služby viz Manuální přiřazení eduPersonScopedAffiliation.pdf