Belnet R&E Federation - Technical FAQ

Over een federatie

Wat is een federatie?    
Wat heeft een federatie u te bieden?    
Wat is de Belnet R&E Federation?

Over het technische framework

Wat is het technische framework?    
Welke systemen worden er gebruikt voor de installatie van IdP- of SP-software?    
Hoe installeer ik een IdP (identity provider)?    
Hoe installeer ik een SP (service provider)?    
Meer informatie nodig over Shibboleth?    
Hoe configureer ik de federatieve login met IdP Office 365?    
Meer informatie nodig over SAML2?    
Meer informatie nodig over de metadata en de Discovery Service?    
Meer informatie nodig over de kenmerken?    
Extensies: wat is de MDUI?    
Meer technische informatie en nuttige links nodig?

Over het platform

Hoe laad ik mijn metadata op naar het platform?    
Hoe corrigeer ik in het platform geïmporteerde XML-code?    
Waar zijn de globale metadata van de Federatie te vinden ?

 

Wat is een federatie?

Een federatie is een groep organisaties die overeenkomen dat ze volgens een bepaalde reeks regels willen samenwerken. Meestal definieert een federatie kenmerken en kent ze metadata toe die deze informatie voorstellen.

Over het algemeen heeft elke organisatie in een federatie één identity provider (IdP) voor haar gebruikers en een aantal service providers (SP's). Met één unieke login kan een student of personeelslid bijvoorbeeld de online vacatures van deelnemende organisaties bekijken.

 

Wat heeft een federatie u te bieden?

Zonder federatie registreert een gebruiker zich bij elke bron die hij wil bekijken. Meestal gebruikt hij dan voor elke bron een nieuwe gebruikersnaam- en wachtwoordcombinatie (ofwel 'logingegevens'). Daardoor stuiten zowel de gebruikers als beheerders op verschillende problemen:

  • Te veel logingegevens: voor elke bron krijgen gebruikers een gebruikersnaam en wachtwoord.
  • Complexe gebruikersregistratie: elke bronbeheerder moet de gebruikers zelf registreren.

Een federatie maakt deze processen voor iedereen gemakkelijker:

  • Vereenvoudigde registratie: een gebruiker moet zich slechts één keer binnen zijn organisatie registreren. Deze 'thuisorganisatie' is verantwoordelijk voor de informatie over de gebruiker en bezorgt de gebruiker zijn logingegevens.
  • Vereenvoudigde administratie: omdat de gebruiker slechts één set logingegevens heeft, is het gemakkelijker om de administratie binnen de organisatie te stroomlijnen.
  • Verificatie: de organisatie van de gebruiker voert de verificatie uit. Als de bron dit vraagt en de gebruiker hiermee instemt, kan de organisatie aanvullende informatie over de gebruiker aan de bron bezorgen.
  • Toegangscontrole: een beslissing die wordt genomen door de bron op basis van de opgehaalde informatie over de gebruiker.

Een federatie is gebaseerd op het concept dat bronnen de gebruikersverificatie laten uitvoeren door de organisatie van de gebruiker. Van deze organisatie krijgen ze informatie over de gebruiker waarmee ze hun eigen beslissingen over de verificatie nemen.

 

Wat is de Belnet R&E Federation?

De Belnet R&E Federation verenigt instellingen voor onderzoek en hoger onderwijs die verbonden zijn met het netwerk van Belnet op een gezamenlijke infrastructuur. Daar krijgen studenten en medewerkers toegang tot online services.

De Belnet R&E Federation biedt op een eenvoudige en veilige manier toegang tot een reeks services en informatiebronnen. De gebruiker heeft alleen de logingegevens van zijn thuisorganisatie nodig om toegang te krijgen tot interne (bijv. website en webmail) en externe bronnen (bijv. wetenschappelijke publicaties, Belnet-diensten zoals FileSender en Antispam, ...).

 

Wat is het technische framework?

Vroeger waren de gebruikersnaam en het wachtwoord (logingegevens) van een student alleen geldig op de campus van zijn universiteit of hogeschool. Dankzij de identiteitsfederatie kunnen studenten hun logingegevens ook buiten de grenzen van de universiteit gebruiken. Deze technologie maakt het mogelijk om met lokale logingegevens bij externe toepassingen in te loggen. Bovendien houdt de technologie alles veilig en zorgt deze ervoor dat het hele proces voldoet aan de privacyvereisten.

De belangrijkste concepten hierbij zijn de 'service provider' (SP) en de 'identity provider' (IdP). Met deze categorieën houden we functies gescheiden die niet binnen één organisatie nodig zijn. Met de middleware Shibboleth plakken we alles aan elkaar. Het SAML2-protocol en de metadata, ontdekkingsdienst en kenmerken zijn de andere essentiële onderdelen van dit technische framework.

Federation illustration


In de volgende vragen en antwoorden vindt u meer informatie over elk van deze onderdelen.

 

Welke systemen worden er gebruikt voor de installatie van IdP- of SP-software?

Er zijn twee systemen getest in de academische federaties: Shibboleth en SimpleSAMLphp. Shibboleth gebruikt Java en Tomcat, SimpleSAMLphp gebruikt PHP.    

Belnet heeft gekozen voor Shibboleth. U kunt wel SimpleSAMLphp gebruiken, maar wij bieden alleen ondersteuning voor Shibboleth.

 

Hoe installeer ik een IdP (identity provider)?

Op deze pagina's vindt u alle informatie die u nodig hebt om uw IdP in te stellen:

 

Hoe installeer ik een SP (service provider)?

Op de volgende pagina's vindt u alle informatie die u nodig hebt om uw SP in te stellen:

  • Ubuntu Linux (zie het pdf-document over de installatie van SP's met Shibboleth - Linux (Ubuntu))
  • Windows (binnenkort beschikbaar)

 

Meer informatie nodig over Shibboleth?

Het Amerikaanse onderzoeksnetwerk Internet2 is een pionier op het vlak van identiteitsfederatie. Daarvoor heeft het netwerk een eigen systeem ontwikkeld: Shibboleth. Het systeem bestaat uit een set softwarecomponenten, waaronder de Shibboleth Identity Provider, Shibboleth Service Provider en andere centrale componenten die het geheel doen werken. De componenten van Shibboleth zijn vrijgegeven met een open-sourcelicentie.

De ontwikkeling van Shibboleth heeft heel wat nuttige informatie opgeleverd voor de standaardisering op dit vlak: de Oasis-standaard SAML2.

 

Hoe configureer ik de federatieve login met IdP Office 365?

kunt u de handleiding downloaden: IdP met Shibboleth 4.x.y op Ubuntu/Debian met Jetty en Microsoft Azure (door Steve Colin van HECondorcet).

 

Meer informatie nodig over SAML2?

SAML (Security Assertion Markup Language) is gebaseerd op XML. Deze standaard definieert de structuur van SAML-berichten die tussen IdP's en SP's worden uitgewisseld. Daarnaast bepaalt SAML2 hoe deze berichten via het internet kunnen worden verzonden. SAML gebruikt XML-handtekeningen en versleuteling om de veiligheid van de uitgewisselde berichten te garanderen.

 

Meer informatie nodig over de metadata en de Discovery Service?

De SAML2-metadata zitten in een XML-document dat de technische informatie van alle IdP's en SP's in de federatie bevat. Elke IdP en SP heeft deze metadata nodig om goed te functioneren. Zonder de metadata weet een SP niet hoe hij berichten naar een bepaalde IdP moet versleutelen. Hij weet ook niet welke server verantwoordelijk is voor welke IdP, noch welke IdP's er in de federatie beschikbaar zijn. De metadata worden onderhouden door de federatie-operator, Belnet.

Daarnaast biedt Belnet een andere service om de werking van de IdP's en SP's te vergemakkelijken: de ontdekkingsdienst. Wanneer een gebruiker een beschermde bron wil bekijken, weet de SP niet bij welke IdP de gebruiker hoort. De gebruiker moet dan zijn eigen organisatie in de lijst met beschikbare IdP's selecteren. Deze selectie wordt uitgevoerd door de Discovery Service, ook wel 'WAYF?' (Where Are You From?) genoemd. De Discovery Service kan opzichzelfstaand en standaard zijn of geïntegreerd worden met om het even welke SP. Belnet gebruikt de opzichzelfstaande Discovery Service.

 

Meer informatie nodig over de kenmerken?

Elke IdP geeft bepaalde informatie over de gebruiker in de vorm van kenmerken. Enkele voorbeelden van kenmerken zijn iemands naam, verjaardag en band met de organisatie. Als een service provider alleen moet weten of iemand aan een bepaalde universiteit studeert, is dit het enige kenmerk dat de IdP van de universiteit vrijgeeft.

 

Extensies: wat is de MDUI?

Dit acroniem staat voor 'Metadata Extensions for User Interface' (Login & Discovery). Deze extensie wordt gebruikt door IdP's en SP's en maakt het mogelijk de metadata uit te breiden met verschillende gegevens, zodat de interface tussen de IdP en SP wordt verbeterd. Dit maakt deel uit van de ontdekkingsdienst (of WAYF). Voor de IdP van ons personeel slaat Belnet logo's, geografische coördinaten en IP-hints op. Hieronder ziet u een voorbeeld van hoe dit werkt:

<Extensions>
                   <mdui:UIInfo>
                       <mdui:DisplayName xml:lang="en"> Belnet </mdui:DisplayName>
                       <mdui:Description xml:lang="en"> Belnet operates the Research and Education network for Belgium. </mdui:Description>
                       <mdui:Logo height="16" width="16"> https://your.site.url/images/smalllogo.png </mdui:Logo>
                       <mdui:Logo height="64" width="152"> https://your.site.url/images/biglogo.png </mdui:Logo>
                   </mdui:UIInfo>
                   <mdui:DiscoHints>
                        <mdui:DomainHint>belnet.be</mdui:DomainHint>
                        <mdui:IPHint>193.190.0.0/15</mdui:IPHint>
                        <mdui:IPHint>2001:6a8::/32</mdui:IPHint>
                       <mdui:GeolocationHint>geo:50.825312,4.365471</mdui:GeolocationHint>
                   </mdui:DiscoHints>
                </Extensions>

Zoals u ziet kunnen er meerdere logo's worden gebruikt, wat nuttig is voor de interface die de entiteiten weergeeft. Over het algemeen lijkt de consensus te zijn dat logo's bij voorkeur in de breedte worden uitgebreid (maar niet te hoog mogen zijn).

Het DiscoHint-gedeelte wordt gebruikt om het Discoverysysteem DiscoJuice te helpen met het lokaliseren van de dichtstbijzijnde IdP waarop u kunt worden gelogd.

Meer technische informatie en nuttige links nodig?

Over de Belnet R&E Federation:

Metadata Management service (Belnet R&E Federation-interface)    
Belnet-federatiecertificaat (PEM-indeling)    
XML-bestand met metadata - officiële Belnet-federatie    
XML-bestand met metadata - officiële Belnet-federatie met eduGAIN

Over Shibboleth:

Shibboleth homepage    
IdP met Shibboleth 4.x.y op Ubuntu/Debian met Jetty en Microsoft Azure (door Steve Colin van HECondorcet)    
Shibboleth IdP- en SP -software    
IdP met Shibboleth 3.1.2 op Ubuntu (vanaf versie 14.04 LTS)    
Shibboleth-installatie voor SP's - Linux (Ubuntu)

 

Hoe laad ik mijn metadata op naar het platform?

Om uw metadata te uploaden naar het platform heeft u 3 mogelijkheden:

  1. Voer een URL in waar de metagegevens moeten worden opgehaald.

    Die laat u toe om een URL in te voegen op basis waarvan de metagegevens automatisch en dagelijks worden geïmporteerd om de gedownloade gegevens geregeld te kunnen bijwerken. Telkens een nieuw geheel van geaggregeerde metagegevens wordt gegenereerd, wordt de opgegeven URL gebruikt. Indien die nieuwe metagegevens niet toegankelijk of ongeldig zijn, wordt de laatste gevalideerde kopie gebruikt.

    De nieuwe optie is bijzonder nuttig voor systemen die gebruik maken van Microsoft-producten, zoals ADFS. In die toepassingen veranderen de in metagegevens gekopieerde certificaten immers geregeld. Dankzij de nieuwe functie, hoeft u niet telkens opnieuw op het platform in te loggen om uw metagegevens aan te passen bij elke update van een certificaat.

   2. Upload een XML-bestand met de knop "Kies bestand".

   3. Kopieer/plak en bewerk de metadata in het tekstveld.

 

Hoe corrigeer ik in het platform geïmporteerde XML-code?

Zodra uw XML-code in het venster 'Metadata in XML format' verschijnt, worden fouten en waarschuwingen automatisch zichtbaar aan de rechterkant. Zolang er fouten in de XML worden gedetecteerd, kan de upload van metagegevens niet worden gevalideerd. Dankzij die functie, kan het valideringssysteem zichzelf in zekere mate corrigeren op een aantal frequente syntactische fouten.

Die XML-corrector signaleert eveneens of de code correct is met het oog op gebruik in eduGAIN. U krijgt ook een voorbeeld van hoe u de code compatibel kan maken met eduGAIN.

 

Waar zijn de globale metadata van de Federatie te vinden ?

Wil u tests uitvoeren of uw IDP voor het gebruik van de Belnet R&E Federation configureren? Dan kunt u de Belnet-metagegevens van de 3 beschikbare URL's downloaden via 'List of downloadable metadata':

  1. De officiële Federation
  2. De officiële op eduGAIN afgestemde Federation
  3. De Federation test

Connecteer u aan de Belnet R&E Federation metadata manager interface

Vond u deze FAQ nuttig?
Copyright © 2024 Belnet.