[ProjectSCZ-FIAM] Obtaining identity attributes from authoritative sources

Martin van Es martin at surfnet.nl
Fri Nov 17 14:14:44 CET 2017 

Beste Pieter,

Ik weet niet precies welke handleiding je hebt gebruikt, maar wat ik wel weet 
is het voldende:

COManage is niet native SAML aware en wordt federatief ontsloten door gebruik 
temaken van een authentication module binnen de webserver (typisch shibolleth 
of mod_mellon onder apache). Deze authentication modules vullen na succesvolle 
authenticatie een environment variable REMOTE_USER zodat de geproxy'de 
applicatie "blindelings" kan vertrouwens dat de gebruiker met 
username=REMOTE_USER ingelogd is. Daarnaasst vult deze module nog een aantal 
andere environment variabelen met een te configureren prefix. In het geval van 
mod_mellon is dat MELLON_. Voor Shibboleth zou dat wel eens iets anders kunnen 
zijn. Bovendien moet je in mod_mellon ook aangeven welke SAML attributen in 
het environment terecht moeten komen (MellonSetEnv, of MellonSetEnvNoPrefix 
zonder prefix).

Het is dus zaak in COManage de (MELLON_)* attributen uit het environment te 
lepelen en in te vullen op de juiste plekken.

Ergens in het vertaling van SAML -> environment > COManage form gaat het dus 
mis bij je.

Grt
Martin

On Friday, November 17, 2017 1:04:21 PM CET Pieter Neerincx wrote:
> Hi allen,
> 
> Op de BBMRI test COManage zit nu een enrollment flow, waarbij je eerst moet
> opgeven:
> 
> 1. Naam
> 2. Email adres
> 3. Affiliation
>    etc.
> 
> en daarna pas inlogt via SURFconext/SAML. Het gevolg is dat ik klink klare
> onzin kan opgeven die niet matcht met wat er aan attributen mee komt van
> het account waarmee ik inlog. Ik kan prins Willem Alexander aanmaken met
> email adres op de Kaaimaneilanden en daarna met m'n RUG account inloggen...
> 
> Ik wil de enrollment flow aanpassen, zodat het begint met inloggen via
> SURFconext/SAML en dat alle relevante attributen dan via SURFconext van m'n
> RUG account worden gehaald. Volgens de handleiding zou zoiets moeten
> kunnen:
> 
> 	"COmanage Registry supports obtaining identity attributes from
> authoritative sources (such as via SAML assertions or LDAP directories) and
> loading them into Organizational Identity records as part of an Enrollment
> Flow."
> 
> maar ik krijg het niet voor elkaar.
>  1. Als iemand zoiets al wel voor elkaar heeft hoor ik het graag.
>  2. Misschien komt het doordat ik wel CO admin ben, maar geen "platform"
> admin o.i.d. Heb het idee op basis van de documentatie dat ik instellingen
> mis... Maar deels is de documentatie niet meer in sync met versie van
> COManage die we draaien.
> 
> Groeten,
> 
> Pi
> 
> 
> -------------------------------------------------------------
> phone: +31 6 143 66 783
> e-mail: pieter.neerincx at gmail.com
> skype:  pieter.online
> -------------------------------------------------------------
> 
> 
> _______________________________________________
> ProjectSCZ-FIAM mailing list
> ProjectSCZ-FIAM at list.surfnet.nl
> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam

More information about the ProjectSCZ-FIAM mailing list