Guia de Implementação de Verificação para o Cliente de
Verificação Shibboleth de Usuário 2013-11-19
Confidencial Versão 3,1
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 |
1
SUMÁRIO
Introdução ............................................................................................................................................... 1
Finalidade e público-alvo ............................................................................................................... 1
Termos mais utilizados ................................................................................................................... 1
Visão global da verificação shibboleth de usuário .................................................................................... 3
O que é verificação de usuário? ..................................................................................................... 3
O que é Shibboleth? ...................................................................................................................... 3
Federações do Shibboleth ............................................................................................................. 4
Como funciona o Shibboleth .......................................................................................................... 5
Diagrama de experiência do cliente ..................................................................................... 6
Resumo da Implementação do Shibboleth ..................................................................................... 6
Configure seu IdP .................................................................................................................................... 7
Metadados e IDs de entidade da Kivuto ......................................................................................... 7
Atributos ........................................................................................................................................ 7
Configurando o Shibboleth em sua webstore do ELMS .......................................................................... 12
Configurando o Shibboleth como Tipo de Verificação da webstore ............................................... 12
Configurando a verificação do Shibboleth .................................................................................... 13
Guia Detalhes .................................................................................................................... 13
Guia Configurações ........................................................................................................... 13
Guia Diagnósticos .............................................................................................................. 15
Como testar a integração....................................................................................................................... 16
Como testar o fluxo de trabalho ................................................................................................... 16
Validação ..................................................................................................................................... 16
Solução de problemas ................................................................................................................. 17
Cenários de implementação do Shibboleth ............................................................................................ 20
Cenário 1: Webstore organizacional do ELMS para um único membro de federação ................... 20
Cenário 2: WebStore departamental do ELMS para um ÚNICO membro de federação ................ 21
Cenário 3: WebStore do ELMS integrada para um ÚNICO membro de federação ........................ 22
Cenário 4: WebStore do ELMS para TODOS os membros de uma federação .............................. 22
Suporte ................................................................................................................................................. 24
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 1
Introdução
Esta seção aborda as seguintes áreas:
Finalidade e público-alvo
Termos mais utilizados
FINALIDADE E PÚBLICO-ALVO
Este documento oferece a você instruções detalhadas para o estabelecimento de um mecanismo de
logon único entre um provedor de identidade Shibboleth existente de um cliente da Kivuto e um
WebStore do ELMS da Kivuto.
Este documento destina-se principalmente aos Administradores do ELMS e equipe técnica que
gerenciam serviços de identidade para sua organização.
Leia este documento juntamente com a ajuda on-line, disponível no site e5 Administration.
TERMOS MAIS UTILIZADOS
Termo Definição/descrição
ELMS / e5 Sistema Eletrônico de Gerenciamento de Licenças
Cliente Uma organização usando o Shibboleth para autenticar os compradores a fim de usar
uma WebStore do ELMS. No site de Administração do ELMS, um cliente é definido
como uma Organização.
Comprador Usuário que está sendo conectado à WebStore do ELMS.
WebStore Um site de comércio eletrônico do ELMS da Kivuto que fornece produtos para a
venda em nome do cliente.
Webstore Organizacional Uma Webstore associada a um contrato de distribuição de software que abrange toda
a organização (por exemplo, DreamSpark Standard). Todos os membros da
organização serão elegíveis para a solicitação de softwares através de Webstores
desse tipo.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 2
Termo Definição/descrição
Webstore Departamental Uma Webstore associada a um contrato de distribuição de software departamental
(por exemplo, DreamSpark Premium). Somente os membros de um departamento de
uma organização são elegíveis para o pedido de softwares através de Webstores
desse tipo.
Webstore Integrada Uma Webstore ELMS associada a diversos contratos de distribuição de software, do
tipo que abrange toda a organização e do tipo departamental. Todos os membros de
uma organização podem fazer logon em Webstores desse tipo e serão elegíveis para
o pedido de softwares oferecidos por contratos que abrangem toda a organização. Os
membros elegíveis dos departamentos terão acesso aos softwares oferecidos por
meio dos contratos departamentais.
ELMS Administration Módulo de administração segura no ELMS que contém funções para gerenciar uma
webstore e configurar uma verificação do usuário. Esse módulo pode ser acessado
apenas por usuários autorizados.
Shibboleth De http://shibboleth.net: “O sistema Shibboleth System é um pacote de software de código-fonte aberto e
baseado em padrões para logon único na Web dentro ou fora dos limites da
organização. Ele permite que os sites tomem decisões de autorização conscientes em
relação ao acesso individual a recursos on-line protegidos de modo a manter a
privacidade.”
IdP “Provedor de Identidade”. O software usado por uma organização com usuários que
desejam acessar um serviço restrito.
SP “Provedor de Serviços”. O software executado pelo provedor que gerencia o serviço
restrito (por exemplo, Kivuto).
ID de entidade Nome exclusivo de um IdP ou um SP em uma implementação do Shibboleth.
O valor do ID de entidade da Kivuto é: https://e5.onthehub.com.
Metadados Dados de configuração usados por IdPs e SPs para realizar a comunicação entre
eles.
Atributos Declarações feitas por um IdP sobre uma pessoa, como um endereço de e-mail ou
um identificador exclusivo.
Código Externo da
Organização
Código fornecido por uma organização ou sua organização mãe para identificá-la
durante as comunicações com um serviço de verificação de de Logon Único, como o
Shibboleth. Para webstores departamentais, um atributo correspondente a esse
código deve ser passado para limitar o acesso a membros do departamento elegível.
WAYF Where Are You From – serviços de descoberta
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 3
Visão global da verificação shibboleth de usuário
Esta seção aborda as seguintes áreas:
O que é verificação de usuário?
O que é Shibboleth?
Como funciona o Shibboleth
o Diagrama de experiência do cliente
Resumo da Implementação do Shibboleth
O QUE É VERIFICAÇÃO DE USUÁRIO?
A verificação de usuário é o método pelo qual a elegibilidade de um usuário da webstore para realizar o
pedido de softwares é autenticada.
Somente usuários autenticados podem adquirir software na sua WebStore. O administrador do ELMS
deve definir como seus usuários são autenticados. Isso é conhecido como métodos de verificação.
Diversos métodos de verificação podem ser usados para autenticar usuários, incluindo domínio do e-
mail, importação do usuário, Integrated User Verification (IUV) e Shibboleth (de um Programa de
Identidade Federada).
O QUE É SHIBBOLETH?
O Shibboleth é um método de verificação de logon único (SSO) que atingiu ampla adoção em todo o
mundo. Os motivos para isso variam desde suas origens de fonte aberta ao seu modelo de proteção de
privacidade, que oferece aos indivíduos e às organizações grande controle sobre quais informações
pessoais são disponibilizadas a terceiros.
O Shibboleth é normalmente usado por uma federação ou grupo de organizações. Por exemplo, o
InCommon é uma federação de organizações nos Estados Unidos. O Canadian Access Federation é um
grupo que oferece os serviços Shibboleth a instituições de ensino do Canadá.
Para quem precisar de informações básicas sobre o Shibboleth, consulte o site do projeto em
http://shibboleth.net.
Demonstrações passo a passo do processo de logon estão disponíveis em
http://www.switch.ch/aai/demo/easy.html.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 4
FEDERAÇÕES DO SHIBBOLETH
Os clientes que utilizam o Shibboleth com ELMS devem ser membros de uma federação que a Kivuto
seja uma SP. Consulte Tabela1 para obter uma lista das federações suportadas pela Kivuto.
Tabela1: Lista de federações
Federação País
SWITCH Suíça
InCommon Estados Unidos
Canadian Access Federation (CAF) Canadá
UK Federation Reino Unido
WAYFDK Dinamarca
SWAMID Suécia
Haka Finlândia
Belnet Bélgica
Edugate Irlanda
DFN Alemanha
eduGAIN Europa
IDEM Itália
RENATER França
ACO Áustria
GRNET Grécia
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 5
COMO FUNCIONA O SHIBBOLETH
Estas são as etapas comuns de logon do Shibboleth em uma webstore do ELMS:
O comprador chega à WebStore da ELMS: Quando o comprador clica no link para fazer logon ou
executa uma ação que exige autenticação (por exemplo, adicionando um item a um carrinho de
compras), o software de SP do Shibboleth integrado à webstore do ELMS redireciona o comprador à
página de entrada do IdP do Shibboleth ou a um serviço de descoberta remota (WAYF) se for
necessário.
O comprador escolhe a organização de origem: Normalmente, esta etapa não é necessária, mas está
disponível para casos nos quais mais de um membro de uma federação acessa a mesma WebStore da
ELMS. O serviço de descoberta apresenta uma lista de organizações na qual o comprador escolhe sua
organização de origem e, em seguida, redireciona o comprador ao site do cliente.
O site do cliente autentica o comprador: O site do cliente solicita ao comprador suas credenciais e
autentica o usuário. Essa autenticação é coordenada pelo software do IdP Shibboleth do cliente. O IdP
cria um conjunto mínimo de atributos para o comprador exigido pela Kivuto. Em seguida, o site
redireciona o comprador de volta à WebStore do ELMS.
A WebStore do ELMS autentica o comprador: Os atributos lançados pelo IdP do cliente são usados
para criar um conjunto de credenciais na WebStore do ELMS (conta de usuário). Essa ação conclui o
processo de verificação e a página original solicitada pelo comprador é exibida.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 6
DIAGRAMA DE EXPERIÊNCIA DO CLIENTE
RESUMO DA IMPLEMENTAÇÃO DO SHIBBOLETH
+
+ TESTE SUA
INTEGRAÇÃO
Configure seu IdP
Libere atributos para os IDs de entidade
da Kivuto
Configure o ELMS para se
comunicar com seu IdP
Descobert
a (WAYF)
IdP do cliente ELMS
O comprador
clica no link
Registrar
O comprador
insere o nome
de usuário e a
senha
O comprador
escolhe a
organização de
origem
O ELMS
processa os
atributos do
comprador
O comprador
inicia as
compras!
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 7
Configure seu IdP
Esta seção aborda as seguintes áreas:
Metadados e IDs de entidade da Kivuto
Atributos
METADADOS E IDS DE ENTIDADE DA KIVUTO
Caso a sua organização seja um IdP em uma federação que tenha aceitado a Kivuto como um SP, esses
serão encontrados nos metadados publicados pela federação.
O ID de entidade usada pela Kivuto é: https://e5.onthehub.com
ATRIBUTOS
O conjunto mínimo de declarações de identidade exigido pela Kivuto é:
um identificador exclusivo de um comprador
o Isso permite que o comprador seja identificado em vários logons.
uma lista de afiliações de grupos
o Concede ao comprador acesso aos produtos restritos a membros de grupos específicos
de usuário. Por exemplo, um produto pode estar disponível apenas ao corpo docente e
aos funcionários.
Declarações adicionais de identidade podem ser feitas (passadas durante a integração) para
personalizar ainda mais a WebStore do ELMS para seus usuários.
Para obter uma lista de atributos, consulte a Tabela 2: Atributos, abaixo.
Observação: Quais atributos devem ser transferidos depende do cenário de implementação. Consulte Cenários de implementação do Shibboleth para determinar quais atributos são necessários para a
sua implementação.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 8
Tabela2: Atributos
Atributo Descrição
eduPersonTargetedID urn:mace:dir:attribute-def:eduPersonTargetedID:
urn:oid:1.3.6.1.4.1.5923.1.1.1.10
Identificador exclusivo de um usuário. Se estiver opaco,
convém usar a configuração “Ocultar nome de usuário”
(consulte a Tabela 3: Configurações).
persistent ID (SAML 2.0) urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
Identificador exclusivo de um usuário.
uid urn:mace:dir:attribute-def:uid urn:oid:0.9.2342.19200300.100.1.1
Identificador exclusivo de um usuário.
SwissEP_UniqueID urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID urn:oid:2.16.756.1.2.5.1.1.1
Identificador exclusivo de um usuário (SWITCHaai).
eduPersonPrincipalName urn:mace:dir:attribute-def:eduPersonPrincipalName urn:oid:1.3.6.1.4.1.5923.1.1.1.6
Identificador exclusivo de um usuário. Pode ser usado em
combinação com outros IDs exclusivos. Neste caso,
eduPersonPrincipalName será o nome de usuário e o outro
ID será capturado como o identificador de membro em uma
verificação de usuário.
eduPersonScopedAffiliation urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9
Concede qualificação a um usuário através da associação
do grupo de usuários. Os mapas de valor de atributo para o
grupo de usuários são:
Importante: Este atributo e os valores padrão disponíveis destinam-se serem passados a organizações acadêmicas. Organizações corporativas podem precisar transferir diferentes parâmetros para indicar a eligibilidade de seus usuários. Consulte seu gerente de conta para ver mais detalhes.
Aluno -> Alunos Corpo Docente -> Corpo Docente Funcionários -> Funcionários
Funcionários-> Corpo Docente/Funcionários
Membro -> Alunos/Corpo Docente/Funcionários
eduPersonAffiliation urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1
Concede qualificação a um usuário. O mesmo
mapeamento do atributo do escopo.
eduPersonPrimaryAffiliation urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5
Concede qualificação a um usuário. O mesmo
mapeamento do atributo do escopo.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 9
Atributo Descrição
isMemberOf urn:mace:dir:attribute-def:isMemberOf urn:oid:1.3.6.1.4.1.5923.1.5.1.1
Usado para grupo de usuários personalizado ou para
mapeamento da organização. Multivalor, use vírgulas ou
dois pontos como delimitadores. Os valores podem ser
qualificados, por exemplo,
urn:mace:example.edu:groups:groupCode. A última parte
dos valores qualificados é usada ao fazer a
correspondência com os códigos do sistema.
Para grupos de usuários, será feita a correspondência dos
valores com os campos Código de Grupo de Usuários no
site e5 Administration, na seção Usuários » Grupos de
Usuários. Quando correspondido, será concedida ao
usuário a associação ao grupo.
Para as organizações, será feita a correspondência dos
valores com o campo Código Externo da Organização
encontrado no site ELMS Administration após ser fornecido
para a Kivuto para a organização da webstore ou em
qualquer uma de suas organizações afiliadas. Quando
houver uma correspondência, será criada uma verificação
de usuário, vinculando-o à organização que tenha grupos
de usuários correspondentes. Isso pode ser usado, por
exemplo, para especificar que um usuário é membro de um
departamento específico.
Observação: As organizações com webstores
departamentais devem transferir um atributo usado para
mapeamento da organização que corresponda ao seu
Código Externo da Organização.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 10
Atributo Descrição
eduPersonEntitlement urn:mace:dir:attribute-def:eduPersonEntitlement SAML2: urn:oid:1.3.6.1.4.1.5923.1.1.1.7
Usado para grupo de usuários personalizado ou para
mapeamento da organização. Consulte isMemberOf para
obter detalhes sobre como os valores são mapeados. Os
valores são URIs, URNs ou URLs.
Quaisquer URNs pode ser usados (por exemplo,
urn:mace:school.edu:exampleResource)Tanto o valor
integral de URN (urn:mace:school.edu:exampleResource)
e a parte da cadeia de caracteres específica ao
namespace (exampleResource) serão comparadas aos
mapeamentos de grupo e organização.
Somente as URLs do formulário
http://[SP]/eligibility/[IdP]/[code] podem ser usadas. Elas
não são passíveis de resolução. A parte de valor ([code])
será comparada aos mapeamentos de grupo e
organização.
Observação: As organizações com webstores
departamentais devem transferir um atributo usado para
mapeamento da organização que corresponda ao seu
Código Externo da Organização.
ou urn:mace:dir:attribute-def:ou urn:oid:2.5.4.11
Usado para mapeamento da organização. Espera-se o uso
de vírgulas ou dois pontos com diversos valores como
delimitadores.
Será feita a correspondência dos valores com o campo
Código Externo da Organização (que pode ser encontrado
na página da organização do site ELMS Administration
após ser fornecido para a Kivuto). Quando houver uma
correspondência, será criada uma verificação de usuário,
vinculando-o à organização que tenha grupos de usuários
correspondentes. Isso pode ser usado, por exemplo, para
especificar que um usuário é membro de um departamento
específico.
Observação: As organizações com webstores
departamentais devem transferir um atributo usado para
mapeamento da organização que corresponda ao seu
Código Externo da Organização.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 11
Atributo Descrição
eduPersonOrgUnitDN urn:mace:dir:attribute-def:eduPersonOrgUnitDN urn:oid:1.3.6.1.4.1.5923.1.1.1.4
Usado para mapeamento da organização. Os nomes
distintos das entradas do diretório que representam a
unidade organizacional do usuário. Espera-se caracteres
de barra vertical (“|”) com diversos valores como
delimitadores.
Os valores são esperados no formulário DN, por exemplo,
“ou=Potions, o=Hogwarts, dc=hsww, dc=wiz”. No exemplo,
Potions seria o valor analisado e seria correspondido com
os campos Código Externo da Organização (consulte ou).
Observação: As organizações com webstores
departamentais devem transferir um atributo usado para
mapeamento da organização que corresponda ao seu
Código Externo da Organização.
Surname urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4
O sobrenome do usuário.
givenName urn:mace:dir:attribute-def:givenName urn:oid:2.5.4.42
O nome do usuário.
mail urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3
O endereço de e-mail do usuário.
homeOrganization urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization urn:oid:2.16.756.1.2.5.1.1.4
A organização à qual o usuário pertence (SWITCHaai).
homeOrganizationType urn:mace:switch.ch:attribute-
def:swissEduPersonHomeOrganizationType urn:oid:2.16.756.1.2.5.1.1.5
O tipo de organização à qual o usuário pertence. Um valor
de “universidade” ou “uas” é exigido para que o usuário
receba qualificação acadêmica (SWITCHaai).
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 12
Configurando o Shibboleth em sua webstore do ELMS
Esta seção aborda as seguintes áreas:
Configurando o Shibboleth como Tipo de Verificação da webstore
Configurando a verificação do Shibboleth
o Detalhes
o Configurações
o Diagnósticos
Importante: Todas as tarefas descritas nesta seção devem ser executadas por um administrador registrado e ativo do ELMS conectado ao site ELMS Administration (https://e5.onthehub.com/admin). Será necessário um número de conta da organização e um nome de usuário e senha válidos para entrar no site.
CONFIGURANDO O SHIBBOLETH COMO TIPO DE VERIFICAÇÃO DA
WEBSTORE
Antes de configurar o Shibboleth para funcionar em conjunto com a webstore do ELMS, é necessário
definir o Shibboleth como um tipo de verificação.
Para configurar o Shibboleth como o tipo de verificaçãoe:
1. No site do e5 Administration, clique em: Webstore.
2. Clique na aba Verificação. A lista dos tipos de verificação configurados no momento é exibida.
Por padrão, “Importações de Usuários” ou um tipo de verificação diferente pode ter sido
configurado para sua WebStore quando ela foi implementada.
3. Clique na caixa de seleção ao lado de qualquer tipo de verificação que não o Shibboleth e, em
seguida, clique no botão Excluir (ou clique no link Desativar na coluna Ações ao lado de
qualquer tipo de verificação que não seja o Shibboleth).
4. Clique no botão Adicionar. Uma nova janela é aberta.
5. Clique na caixa de seleção ao lado de Shibboleth.
6. Clique no botão OK para salvar a seleção.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 13
CONFIGURANDO A VERIFICAÇÃO DO SHIBBOLETH
Depois que a Shibboleth tiver sido definida como um tipo de verificação para a sua organização, será
necessário configurá-la.
Para configurar o Shibboleth:
1. No menu principal, clique em WebStore.
2. Clique na aba Verificação.
3. Clique no link Shibboleth. Uma nova janela abre com duas guias: Detalhes e Configurações.
GUIA DETALHES
Geralmente, não é necessário ou aconselhável alterar os valores padrão dos campos dessa guia.
Tenha cuidado se desejar alterar os valores padrão de “Setor” e de “Verificações Expiram em”. A
alteração desses valores pode corromper a implementação fazendo com que seus usuários finais não
possam entrar na webstore do ELMS.
GUIA CONFIGURAÇÕES
A página Configurações define todas as informações de cliente (organização) exigidas pela Kivuto.
Consulte a Tabela 3: Configurações.
Observação: As configurações necessárias dependem do cenário de implementação. Consulte Cenários de implementação do Shibboleth para determinar quais configurações são necessárias
para a sua implementação.
Tabela3: Configurações
Informações Descrição
Terceiro confiável Lista das federações das quais a Kivuto é membro (por exemplo,
InCommon, SWITCHaai).
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 14
Informações Descrição
ID de entidade do Provedor
de Identidade
Serviços de descoberta da federação (WAYF) podem ser ignorados
fornecendo-se um valor a esta configuração. Se a WebStore for específica
de um IdP, este valor deverá ser considerado como necessário.
O valor deve ser exatamente igual ao encontrado nos metadados. Por
exemplo:
“urn:mace:incommon:myorg.edu” ou “https://shibboleth.myorg.edu”
Endereço de e-mail do
Administrador IUV
Endereço de email do indivíduo (ou lista de distribuição) que receberá
mensagens de erro do ELMS.
Ocultar nome de usuário Quando selecionada, esta configuração impede que o identificador
exclusivo de um usuário seja exibido em vários lugares na interface do
usuário da WebStore.
Isto será útil quando um nome de usuário formatado para a tela não for
fornecido (ex., uma GUID) como parte do conjunto de atributos liberados
do IdP.
URL de redirecionamento de
logoff
A URL para o qual um usuário será redirecionado ao saírem do SP do
Shibboleth e da webstore.
Se for deixado vazio, o usuário permanecerá na WebStore ao fazer logoff
e será exibida uma mensagem semelhante à seguinte:
“Você entrou neste site, mas continua conectado ao seu sistema de logon
único. Se desejar fazer logoff completamente, será NECESSÁRIO fechar
o seu navegador.”
Habilitar modo de
diagnósticos
Quando habilitado, os dados do estado do servidor são capturados para
toda tentativa de logon, e a mais recente pode ser visualizada na guia
Diagnósticos. Consulte a seção Solução de problemas em Como testar
sua integração.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 15
Informações Descrição
Escopo de qualificação
restrito
Se selecionado, os atributos de qualificação (ex.,
eduPersonScopedAffiliation) serão processados somente para usuários
com atributos de acompanhamento contendo informações de
mapeamento da organização (ou, eduPersonOrgUnitDN, isMemberOf,
eduPersonEntitlement).
Se estiver desmarcado, os atributos de qualificação serão processados
para todos os usuários. Se os atributos de mapeamento da organização
de acompanhamento estiverem presentes, os usuários receberão a
associação nas organizações correspondentes. Caso contrário, os
usuários receberão a associação na organização da WebStore.
Esses dados podem ser vistos, após o logon, examinando-se os
registros de verificação do usuário correspondente (Usuários »
[selecionar usuário] »Verificações).
Observação: Esta opção deve ser selecionada se você estiver
configurando o Shibboleth para uma webstore puramente departamental
de modo que somente os membros do departamento apropriado receba
qualificação. Esta é a única ocasião que essa opção deve ser
selecionada.
GUIA DIAGNÓSTICOS
A página Diagnósticos exibe dados capturados durante as tentativas de logon recentes. Nada será
exibido a menos que o Modo Diagnóstico seja habilitado por meio da página Configurações (consulte
Tabela 3: Configurações).
Para obter detalhes sobre o que é exibido, consulte a seção Solução de problemas em Como testar sua
integração.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 16
Como testar a integração
Quando sua integração estiver concluída, será necessário testá-la.
Esta seção aborda as seguintes áreas:
Como testar o fluxo de trabalho
Validação
Solução de problemas
COMO TESTAR O FLUXO DE TRABALHO
As etapas comuns necessárias para testar sua implementação.
1. Configure seu IdP.
2. Configure sua WebStore do ELMS.
3. Acione o processo de autenticação de sua WebStore do ELMS. Caso já tenha se conectado ao
site de administração, você deverá se desconectar ou usar outro navegador. Se o tipo de
verificação do Shibboleth estiver no status Teste, será preciso usar o URL de teste disponível em
Webstore » Verificação, que permite métodos de verificação de teste ao acessar sua webstore.
4. Faça a autenticação com seu IdP e certifique-se de que tenha se conectado com êxito à sua
WebStore do ELMS.
5. Valide os dados criados para o usuário em sua WebStore do ELMS conforme descrito na
próxima seção.
6. Quando tudo estiver funcionando conforme o esperado, entre em contato com a Kivuto para
continuar.
VALIDAÇÃO
Depois de obter êxito na autenticação, é importante verificar o perfil do usuário para garantir que todos
os grupos de qualificação e as informações de personalização tenham sido definidos corretamente.
Na WebStore do ELMS:
1. Clique no link Sua Conta/Pedidos, acima do banner da página.
2. Clique no link Detalhes da conta. Qualquer informação de personalização transmitida será
exibida.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 17
3. Retorne à página Sua Conta/Pedidos e clique no link Sua Qualificação para exibir os grupos
de qualificação aos quais sua conta foi atribuída.
No site de administração do ELMS:
1. No menu principal, clique em Usuários.
2. Busque pelo usuário desejado e clique em Nome de Usuário para navegar até a página de
detalhes. Qualquer informação de personalização transmitida será exibida.
3. Clique na guia Verificações. Para cada autenticação bem-sucedida, haverá uma entrada
contendo a lista esperada de grupos de qualificação.
SOLUÇÃO DE PROBLEMAS
Caso encontre problemas durante a autenticação, ou se as informações de personalização ou
qualificação não tiverem sido criadas conforme o esperado para seus usuários, talvez seja útil habilitar o
Modo Diagnósticos (consulte Tabela3). Os dados capturados durante as tentativas de logon recentes,
bem-sucedidas ou não, serão exibidos na guia Diagnósticos Clicar em uma tentativa de logon individual
mostra a página Detalhes com as seguintes seções:
Usuário
o Nome de usuário, nome e sobrenome, endereço de e-mail. Vazio para tentativas sem
sucesso.
Verificações de Usuário
o Para cada organização, o usuário era mapeado (via ou, isMemberOf etc.), para a
verificação de usuário correspondente, junto com o identificador de membro exclusivo, a
data de expiração da verificação e associações do grupo de usuário. Vazio para
tentativas sem sucesso.
Variáveis de servidor do Shibboleth
o As variáveis do servidor IIS que faziam parte da sessão do Shibboleth ativa durante a
tentativa de logon. Se os atributos esperados não forem exibidos aqui, o servidor do
Shibboleth os terá descartado devido a um mapeamento ou formatação de valor não
suportado. Para uma análise de como as entradas na seção Variáveis de servidor do
Shibboleth são mapeadas para os atributos do Shibboleth, consulte Tabela4: Variáveis
de servidor do Shibboleth.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 18
Outras variáveis de servidor
o Outras variáveis de servidor IIS ativas durante a tentativa de logon. Provavelmente, não
é útil, mas presente no caso de uma variável não ter sido classificada corretamente, e
incluída na seção Shibboleth acima.
Tabela4: Variáveis de servidor do Shibboleth
Nome da variável Nome do(s) atributo(s) HTTP_TARGETEDID eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10
HTTP_PERSISTENTID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
HTTP_AFFILIATION urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1
urn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.9
urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.5
HTTP_ISMEMBEROF urn:mace:dir:attribute-def:isMemberOf
urn:oid:1.3.6.1.4.1.5923.1.5.1.1
HTTP_ACADEMICCAREER urn:mace:dir:attribute-def:academicCareer
rn:oid:1.3.6.1.4.1.5524.1.13
HTTP_PRINCIPALNAME urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid:1.3.6.1.4.1.5923.1.1.1.6
HTTP_GIVENNAME
urn:mace:dir:attribute-def:givenName
urn:oid:2.5.4.42
HTTP_MAIL
urn:mace:dir:attribute-def:mail
urn:oid:0.9.2342.19200300.100.1.3
HTTP_SURNAME
urn:mace:dir:attribute-def:sn
urn:oid:2.5.4.4
HTTP_UID
urn:mace:dir:attribute-def:uid
urn:oid:0.9.2342.19200300.100.1.1
urn:mace:dir:attribute-def:employeeNumber
urn:oid:2.16.840.1.113730.3.1.3
HTTP_ENTITLEMENT urn:mace:dir:attribute-def:eduPersonEntitlement
urn:oid:1.3.6.1.4.1.5923.1.1.1.7
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 19
Nome da variável Nome do(s) atributo(s) HTTP_OU urn:mace:dir:attribute-def:ou
urn:oid:2.5.4.11
HTTP_ORGUNITDN urn:mace:dir:attribute-def:eduPersonOrgUnitDN
urn:oid:1.3.6.1.4.1.5923.1.1.1.4
HTTP_UNIQUEID urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID
urn:oid:2.16.756.1.2.5.1.1.1
HTTP_HOMEORGANIZATION urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization
urn:oid:2.16.756.1.2.5.1.1.4
HTTP_HOMEORGANIZATIONTYPE urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganizationType
urn:oid:2.16.756.1.2.5.1.1.5
HTTP_STUDYBRANCH1 urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch1
urn:oid:2.16.756.1.2.5.1.1.6
HTTP_STUDYBRANCH2 urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch2
urn:oid:2.16.756.1.2.5.1.1.7
HTTP_STUDYBRANCH3 urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch3
urn:oid:2.16.756.1.2.5.1.1.8
HTTP_STUDYLEVEL urn:mace:switch.ch:attribute-def:swissEduPersonStudyLevel
urn:oid:2.16.756.1.2.5.1.1.9
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 20
Cenários de implementação do Shibboleth
A natureza da sua organização, webstore e contrato de distribuição de softwares determina quais dos
atributos descritos em Tabela2 são exigidos pela Kivuto e quais das configurações descritas em Tabela3
devem ser configuradas para implementar com sucesso a verificação do Shibboleth.
Esta seção descreve os cenários mais comuns de implementação do Shibboleth e resume as exigências
específicas de cada implementação.
Cenário 1: WebStore organizacional do ELMS para um único membro de federação
Cenário 2: Webstore departamental do ELMS para um único membro de federação
Cenário 3: WebStore do ELMS integrada para um único membro de federação
Cenário 4: WebStore do ELMS para TODOS os membros de uma federação
CENÁRIO 1: WEBSTORE ORGANIZACIONAL DO ELMS PARA UM
ÚNICO MEMBRO DE FEDERAÇÃO
Nesse cenário, uma webstore do ELMS é implementada para um único membro da federação
(organização), sob um contrato que abrange toda a organização (por exemplo, DreamSpark Standard). A
organização é diretamente integrada à federação, sem que os usuários tenham de escolher a
organização através do uso de serviços de detecção (WAYF).
Os requisitos de implementação para o Cenário 1 são os seguintes. Consulte Tabela2 e Tabela3 para
obter uma descrição de cada atributo e configuração relacionados, e para atributos/configurações
adicionais opcionais.
Requisitos de atributo: Requisitos de configuração do ELMS:
Identificador exclusivo de um usuário. Por exemplo:
eduPersonTargetedID
ID persistente
UID
eduPersonPrincipalName
Identificador de qualificação (grupo de usuários) para um usuário. Por exemplo:
eduPersonScopedAffiliation
eduPersonAffiliation
eduPersonPrimaryAffiliation
isMemberOf (para grupos de usuários
Na página de Configurações de Verificação da Webstore e5:
Selecione sua federação da lista suspensa Terceiro Confiável.
Identifique o seu provedor de serviços de detecção no campo ID de Entidade do Provedor de Identidade.
Forneça um Endereço de e-mail do Administrador.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 21
personalizados)
eduPersonEntitlement (para grupos de usuários personalizados)
CENÁRIO 2: WEBSTORE DEPARTAMENTAL DO ELMS PARA UM
ÚNICO MEMBRO DE FEDERAÇÃO
Nesse cenário, uma webstore do ELMS é implementada para um departamento específico de um
membro da federação (organização), sob um contrato departamental (por exemplo, DreamSpark
Premium).
Importante: Um parâmetro correspondente ao Código Externo da Organização do departamento deve ser fornecido neste cenário para que o acesso seja restrito aos membros do departamento elegível.
Os requisitos de implementação para o Cenário 2 são os seguintes. Consulte Tabela2 e Tabela3 para
obter uma descrição de cada atributo e configuração relacionados, e para atributos/configurações
adicionais opcionais.
Requisitos de atributo: Requisitos de configuração do ELMS:
Identificador exclusivo de um usuário. Por exemplo:
eduPersonTargetedID
ID persistente
UID
eduPersonPrincipalName
Identificador de qualificação (grupo de usuários) para um usuário. Por exemplo:
eduPersonScopedAffiliation
eduPersonAffiliation
eduPersonPrimaryAffiliation
isMemberOf (para grupos de usuários personalizados)
eduPersonEntitlement (para grupos de usuários personalizados)
Identificador da organização (departamento) configurado para corresponder aoCódigo Externo da Organização adequado. Por exemplo:
isMemberOf
eduPersonOrgUnitDN
ou
Na página de Configurações de Verificação da Webstore e5:
Selecione sua federação da lista suspensa Terceiro Confiável.
Identifique o seu provedor de serviços de detecção no campo ID de Entidade do Provedor de Identidade.
Forneça um Endereço de e-mail do Administrador.
Selecione a opção Escopo de qualificação restrito para restringir a qualificação para os membros do departamento apropriado. (Observação: Esse é o único cenário em que essa opção é selecionada.)
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 22
CENÁRIO 3: WEBSTORE DO ELMS INTEGRADA PARA UM ÚNICO
MEMBRO DE FEDERAÇÃO
Nesse cenário, uma webstore do ELMS integrada (ou seja, uma loja on-line que combina contratos
organizacionais e de departamentos, de modo que alguns usuários são elegíveis para acessar todas as
ofertas enquanto outros são elegíveis para acessar apenas algumas ofertas) é implementada para um
único membro da federação (organização).
Os requisitos de implementação para o Cenário 3 são os seguintes. Consulte Tabela2 e Tabela3 para
obter uma descrição de cada atributo e configuração relacionados, e para atributos/configurações
adicionais opcionais.
Requisitos de atributo: Requisitos de configuração do ELMS:
Identificador exclusivo de um usuário. Por exemplo:
eduPersonTargetedID
ID persistente
UID
eduPersonPrincipalName
Identificador de qualificação (grupo de usuários) para um usuário. Por exemplo:
eduPersonScopedAffiliation
eduPersonAffiliation
eduPersonPrimaryAffiliation
isMemberOf (para grupos de usuários personalizados)
eduPersonEntitlement (para grupos de usuários personalizados)
Identificador da organização (departamento) configurado para corresponder aoCódigo Externo da Organização adequado.** Por exemplo:
isMemberOf
eduPersonOrgUnitDN
ou
Na página de Configurações de Verificação da Webstore e5:
Selecione sua federação da lista suspensa Terceiro Confiável.
Identifique o seu provedor de serviços de detecção no campo ID de Entidade do Provedor de Identidade.
Forneça um Endereço de e-mail do Administrador.
**Observação: Se um valor correspondente ao Código Externo da Organização de um departamento não for aprovado, o usuário ainda poderá entrar no site, mas terá acesso apenas aos produtos oferecidos por meio de programas
organizacionais.
CENÁRIO 4: WEBSTORE DO ELMS PARA TODOS OS MEMBROS DE
UMA FEDERAÇÃO
Esse cenário envolve uma webstore do ELMS implementada para todos os membros de uma federação.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 23
Durante o processo de logon, a WebStore encaminha o usuário a um site de serviços de descoberta
(WAYF) no qual é escolhida a organização à qual pertencem.
Os requisitos de implementação para o Cenário 4 são os seguintes. Consulte Tabela2 e Tabela3 para
obter uma descrição de cada atributo e configuração relacionados, e para atributos/configurações
adicionais opcionais.
Requisitos de atributo: Requisitos de configuração do ELMS:
Identificador exclusivo de um usuário. Por exemplo:
eduPersonTargetedID
ID persistente
UID
eduPersonPrincipalName
Identificador de qualificação (grupo de usuários) para um usuário. Por exemplo:
eduPersonScopedAffiliation
eduPersonAffiliation
eduPersonPrimaryAffiliation
isMemberOf (para grupos de usuários personalizados)
eduPersonEntitlement (para grupos de usuários personalizados)
Na página de Configurações de Verificação da Webstore e5:
Selecione sua federação da lista suspensa Terceiro Confiável.
Não insira um valor no campoID de Entidade do Provedor de Identidade (em vez disso, serviços de detecção serão usados).
Forneça um Endereço de e-mail do Administrador.
Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 24
Suporte
Se tiver dificuldades ao configurar o Shibboleth para o ELMS ou necessitar de assistência técnica, envie
um e-mail para [email protected].
Lembre-se de incluir o seguinte em seu e-mail:
Nome do cliente
Nome do contato
E-mail do contato
Telefone do contato
Número da conta do ELMS
Descrição detalhada do problema ou solicitação de informações
Top Related