Η σύνδεση μιας υπηρεσίας/εφαρμογής με την Υποδομή Πιστοποίησης και Εξουσιοδότησης (AAI) του ΑΠΘ, ώστε οι χρήστες του ΑΠΘ να έχουν πρόσβαση με τον Ιδρυματικό τους Λογαριασμό, απαιτεί μια σειρά ενεργειών από την πλευρά του τεχνικού διαχειριστή της εφαρμογής αυτής. Οι ενέργειες αυτές περιγράφονται συνοπτικά παρακάτω.

Τεχνικές έννοιες #

Αρχικά, ο τεχνικός διαχειριστής θα πρέπει να έχει καλή γνώση της τεχνολογίας Single Sign-On, και συγκεκριμένα των εννοιών Identity Provider (IdP), Service Provider (SP), και SAML2.0.

Εγκατάσταση Service Provider #

Ο τεχνικός διαχειριστής θα πρέπει να προχωρήσει σε εγκατάσταση και παραμετροποίηση του Service Provider (SP) της εφαρμογής. Προτείνεται η χρήση ενός εκ των λογισμικών

• Shibboleth (Οδηγίες εγκατάστασης Shibboleth SP)
• SimpleSAMLphp (Οδηγίες εγκατάστασης SimpleSAMLphp SP)

Ενεργοποίηση HTTPS #

Καθώς προτείνεται ισχυρά η χρήση HTTPS, ο τεχνικός διαχειριστής θα πρέπει να προχωρήσει σε διαδικασία έκδοσης πιστοποιητικού και ενεργοποίηση επικοινωνίας SSL στην εφαρμογή

Ρύθμιση SP και δοκιμές #

Για την συνολική ρύθμιση του SP αλλά και της εφαρμογής, και τις δοκιμές λειτουργίας πριν την σύνδεση με την υποδομή ΑΑΙ του ΑΠΘ, προτείνεται η σύνδεση με δοκιμαστικό IdP, όπως το περιβάλλον TESTSHIB.

Επιλογή χαρακτηριστικών αποδέσμευσης από Identity Provider #

Στη συνέχεια ο τεχνικός διαχειριστής θα πρέπει να επιλέξει τα στοιχεία χρηστών που θα του δίνονται από τον Identity Provider (IDP) του ΑΠΘ κατά το login. Τα διαθέσιμα χαρακτηριστικά (attributes) αναλύονται εδώ.

Αίτηση ένταξης SP στην υποδομή AAI του ΑΠΘ #

Για την σύνδεση του SP με τον IDP, ο υπεύθυνος της εφαρμογής θα πρέπει να συμπληρώσει την ηλεκτρονική αίτηση ένταξης στην Υποδομή Πιστοποίησης και Εξουσιοδότησης (AAI).

Ετοιμασία και αποστολή metadata #

Μετά την έγκριση της αίτησης από την επιτροπής AAI του ΚΗΔ ΑΠΘ, θα ζητηθεί από τον τεχνικό διαχειριστή η αποστολή των metadata του SP. Τα metadata, όπως περιγράφονται αναλυτικά εδώ, θα πρέπει να περιέχουν συγκεκριμένα υποχρεωτικά πεδία.

Ρύθμιση επικύρωσης (validation) των metadata του IdP #

Προτείνεται ισχυρά στους τεχνικούς διαχειριστές, η κατάλληλη ρύθμιση του SP ώστε να γίνεται επικύρωση (validation) των metadata του IdP.

Τα IdP metadata, με entityID “https://login.auth.gr/saml2/idp/metadata.php” βρίσκονται στη διεύθυνση

“https://login.auth.gr/saml2/idp/metadata.php“

Για το validation, χρησιμοποιήστε το παρακάτω δημόσιο κλειδί.

-----BEGIN CERTIFICATE-----
MIIDPDCCAiQCCQDFOxuYF+tatzANBgkqhkiG9w0BAQsFADBgMQswCQYDVQQGEwJHUjEtMCsGA1UECgwkQXJpc3RvdGxlIFVuaXZlcnNpdHkgb2YgVGhlc3NhbG9uaWtp MSIwIAYDVQQDDBlJZGVudGl0eSBQcm92aWRlciBvZiBBVVRoMB4XDTE2MDIyMzA5Mzk0MVoXDTM2MDIxODA5Mzk0MVowYDELMAkGA1UEBhMCR1IxLTArBgNVBAoMJEFy aXN0b3RsZSBVbml2ZXJzaXR5IG9mIFRoZXNzYWxvbmlraTEiMCAGA1UEAwwZSWRlbnRpdHkgUHJvdmlkZXIgb2YgQVVUaDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC AQoCggEBAKt37BJXp6hsDS5QTlY4v2AKpV/qHvYWxnbyPQl/SLS/XpoI69fyf+9Qww9L+rHcSQ27t0xoawX3TmmE5pdh2MY4a/V4s8pkOTxTbOSV4YrBLQEmqi2Q62jY QPyhPyA7moLL4SwK4RYaf9MMfEMUB65nmd8xKU0iIo0dGCarCn9Xrqn032sIU6eWf3kA4kDAlGyPvRWOvlSYFz+Df5rXlUrhKmA9nfQ1m8ZGxorT7f+H1XgaIPFRU2ob 4ukwN5hWD3C4PCGKAVQiC8kBqTeVn/JUxC49+NXMZpeJkmARoFuw+lAl9GqwV1B6KXQAbBfsNmV/dMQjokBeC0v+x0oRhCcCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEA PHxUKs8kKZisCV+nsj+RYquyVQRIm/clXI4SsfJXfFfyz1GxZrJGxs3kIyX8IX/rdX+wWQSOYpM6XEOM8aUdztvX5H5iGgiG2AKak3lE0OhheS//7NykaCFUQ70WDeF0 8CRdz9fZxIdx8RW2eHu+5acqitOZmEpb0irRk/YpiRIjsJ5sHbr+A4m+7GBtWscTU7kixfwtzEPzZSAx1DdBdsMi1F1CR/75Jbai2F8/odNiDOXUJrOw+SDMjbUc8580 eqa0B/e7sCW8Gd+uMlGaI5l+ZJuES3Rj370S8wbf0JjdNGbpM4RtKx/Gn7+8PM28CKnKisi+LBu2K1KyNXys0Q==
-----END CERTIFICATE-----