Steve Colin schrijft handleiding om de Identity Federation toegankelijker te maken voor academische partners

door
Marc Gérard

Content Developer @ Belnet
op

Steve Colin (Coördinator eServices van de digitale campus van de Haute-Ecole Condorcet) heeft onlangs een handleiding gemaakt om je te helpen je Office365-authenticatie uit te rollen door Shibboleth IdP v4.x te configureren op Debian-Ubuntu Linux (met Apache2 + Jetty9). Hoe je dat doet, wordt haarfijn uitgelegd op onze FAQ-pagina's. 

We stelden Steve Colin enkele vragen om meer te weten over zijn handleiding en om beter te begrijpen hoe hij het delen van kennis binnen de academische gemeenschap ziet.

Kun je je handleiding kort toelichten?

Met deze handleiding kun je Shibboleth versie 4.1 op een Linux-besturingssysteem (Debian-Ubuntu) implementeren om toe te treden tot de Belnet Identity Federation en de eduGAIN Federation. Hoe je die authenticatie met behulp van Azure Active Directory/Office365 implementeert, wordt daarin in detail beschreven.

"Ik wil de Identity Federation ook toegankelijker maken voor de academische partners, die soms worden afgeschrikt door het idee van een complexe uitrol." (Steve Colin)

Hoe is deze handleiding tot stand gekomen, welke bronnen heb je gebruikt?

De handleiding werd opgesteld op basis van bestaande officiële documentatie die op het internet te vinden is (officiële documentatie van Shibboleth, documentatie van het GARR-consortium in Italië).

Daar hebben we nog extra opmerkingen en verduidelijkingen in aangebracht die ons nuttig leken en die je vaak niet terugvindt in opensourceprocedures. We hebben ook scripts toegevoegd om een aantal attributen te genereren die nodig zijn om de Identity Federation vlot te laten functioneren.

Ik heb de handleiding geschreven met de hulp van mijn collega Alexandre Bourgeois, systeembeheerder bij Campus Numérique Hainaut-Enseignement (Haute-Ecole Condorcet) en Pascal Panneels (Belnet).

Hoe ben je op het idee gekomen om deze handleiding met onze gemeenschap te delen?

Kennis delen is voor ons een vanzelfsprekendheid, een filosofie die we bij Campus Numérique dagelijks toepassen. Ik denk trouwens dat de meeste instellingen voor hoger onderwijs zich hierin kunnen vinden. Ik wil de Identity Federation ook toegankelijker maken voor de academische partners, die soms worden afgeschrikt door het idee van een complexe uitrol. Ik denk dat de toekomst van het onderwijs ligt in het aanbieden van gezamenlijke diploma's, samenwerking en uitwisseling. Daarom is het belangrijk dat we die ambitie op technisch vlak kracht bijzetten.

Welke impact heeft het gebruik van Office365-authenticatie in Shibboleth?

Wat het onderwijs in de provincie Henegouwen betreft (Haute-Ecole Condorcet, sociale promotie en secundair onderwijs), zorgt dit voor eenvormigheid van ons uniek en gecentraliseerd authenticatiemechanisme.

Sinds het begin van de COVID-pandemie willen we die authenticatie versterken door die stabieler te maken en een hoge beschikbaarheid en veiligheid te garanderen. Daarom hebben we gekozen voor Azure Active Directory-authenticatie (Office365), die perfect aan deze drie criteria voldoet. Vervolgens wilden we ook al onze tools aan die authenticatie koppelen.

Als eerste stap bekeken we of het mogelijk was om rechtstreeks toe te treden tot de Belnet Identity Federation via Azure AD. Die 'directe' oplossing bracht echter te veel conversies van attributen en wijzigingen van metadata met zich mee. Shibboleth grijpt in op dit niveau en door die te configureren als een proxy-SAML, maakt die de verbinding mogelijk tussen Azure AD en de Federation.

Steve Colin (Coördinator eServices van de digitale campus van de Haute-Ecole Condorcet)

Steve Colin (Coördinator eServices van de digitale campus van de Haute-Ecole Condorcet)

Verschilt de installatie volgens de grootte van de organisatie?

Ik zou eerder zeggen dat de installatie varieert naargelang het aantal toepassingen dat de instelling aan de Federation wil koppelen. Een configuratie per toepassing is immers ideaal met het oog op flexibiliteit en veiligheid. Op die manier worden gedistribueerde attributen gefilterd en worden alleen de attributen die nodig zijn voor de beoogde toepassing verzonden na succesvolle authenticatie.

"Kennis delen is voor ons een vanzelfsprekendheid, een filosofie die we bij Campus Numérique dagelijks toepassen." (Steve Colin)

Voor zeer grote instellingen is het nuttig om een cluster van Shibboleth-servers in te zetten om een zo hoog mogelijke beschikbaarheid te garanderen. We hebben die keuze momenteel nog niet gemaakt, maar zullen dit in de nabije toekomst zeker overwegen.

Welke tips zou je geven aan organisaties die Office365-authenticatie willen toevoegen met behulp van jouw handleiding?

Het is echt niet zo ingewikkeld. Trek er minstens twee dagen voor uit.

Als je instelling al een Shibboleth-server V2 of V3 heeft, begin dan helemaal opnieuw en installeer V4.1. Er zijn te veel verschillen tussen die hoofdversies van Shibboleth, waardoor je te veel tijd verliest.

Het is ook mogelijk om een tweede keer toe te treden tot de Federation met een testentiteit om te vermijden dat een server die al in productie is, wordt beïnvloed. Aarzel tot slot niet om de hulp van de Belnet-medewerkers in te roepen, zonder wie deze uitrol niet mogelijk was geweest en die altijd erg behulpzaam zijn.

Heeft u interesse in de handleiding van Steve Colin?

Vond u dit nieuws interessant?
Copyright © 2024 Belnet.