Configuração de um IdP na categoria R&S
1 - Introdução
O Research and Scholarship Category permite o avanço de pesquisas acadêmicas, facilitando o acesso de pesquisadores a serviços web por meio da autenticação federada. Através dele, o usuário pode acessar qualquer serviço web que seja R&S Category utilizando o provedor de identidades de sua instituição. Dessa forma, entidades participantes contribuem para o avanço das pesquisas sem a necessidade de envolver configurações complexas e suporte de TI.
Os participantes devem cumprir alguns requisitos mínimos para se auto declararem R&S Category. Para operadores de Provedor de Identidade (IdP), a especificação R&S Category define um grupo de atributos que devem ser liberados a todos os Provedores de Serviços da categoria.
Nesse grupo existem três categorias:
Identificadores pessoal: email, person name, eduPersonPrincipalName
Pseudo identificadores: eduPersonTargetID
Afiliação: eduPersonScopedAffiliation
Um Provedor de Identidades indica seu suporte ao R&S Category exibindo, em seu metadado, o atributo de identidade R&S e liberando automaticamente (com consentimento do usuário) todos os atributos mínimos listados abaixo.
eduPersonPrincipalName
mail
displayName OU (givenName E sn)
(eduPersonTargetedID)
Apesar de possuir uma lista mínima de atributos, recomenda-se que todos aqueles definidos pela especificação sejam liberados.
Identificadores
eduPersonPrincipalName
eduPersonTargetedID
Atributos de nome de Pessoa
displayName
givenName
sn (surname)
Atributo de autorização
eduPersonScopedAffiliation
2 - Configuração do Shibboleth IdP
Este documento fornece algumas alterações na configuração do Shibboleth IdP fornecido pela RNP para torná-lo em conformidade ao R&S Category.
2.1 - Liberação de atributos R&S
2.1.a - Attribute-filter.xml
O exemplo abaixo ilustra como configurar os filtros do IdP para que todos os atributos sejam liberados a qualquer Provedor de Serviço R&S Category. Adicione a configuração dentro do nó
2.1.b - attribute-resolver.xml
Dentro deste arquivo são descritos todos os atributos conforme determinado pela especificação e também é onde a realiza a consulta dos atributos via LDAP.
Adicione dentro de o mapeamento de givenName e displayName para que o IdP possa reconhecê-los quando requisitado.
Encontre “ReturnAttributes” e adicione givenName e displayName.
Reinicie o tomcat.
Last updated