[ProjectSCZ-FIAM] Obtaining identity attributes from authoritative sources
Martin van Es
martin at surfnet.nl
Fri Nov 17 14:14:44 CET 2017
Beste Pieter,
Ik weet niet precies welke handleiding je hebt gebruikt, maar wat ik wel weet
is het voldende:
COManage is niet native SAML aware en wordt federatief ontsloten door gebruik
temaken van een authentication module binnen de webserver (typisch shibolleth
of mod_mellon onder apache). Deze authentication modules vullen na succesvolle
authenticatie een environment variable REMOTE_USER zodat de geproxy'de
applicatie "blindelings" kan vertrouwens dat de gebruiker met
username=REMOTE_USER ingelogd is. Daarnaasst vult deze module nog een aantal
andere environment variabelen met een te configureren prefix. In het geval van
mod_mellon is dat MELLON_. Voor Shibboleth zou dat wel eens iets anders kunnen
zijn. Bovendien moet je in mod_mellon ook aangeven welke SAML attributen in
het environment terecht moeten komen (MellonSetEnv, of MellonSetEnvNoPrefix
zonder prefix).
Het is dus zaak in COManage de (MELLON_)* attributen uit het environment te
lepelen en in te vullen op de juiste plekken.
Ergens in het vertaling van SAML -> environment > COManage form gaat het dus
mis bij je.
Grt
Martin
On Friday, November 17, 2017 1:04:21 PM CET Pieter Neerincx wrote:
> Hi allen,
>
> Op de BBMRI test COManage zit nu een enrollment flow, waarbij je eerst moet
> opgeven:
>
> 1. Naam
> 2. Email adres
> 3. Affiliation
> etc.
>
> en daarna pas inlogt via SURFconext/SAML. Het gevolg is dat ik klink klare
> onzin kan opgeven die niet matcht met wat er aan attributen mee komt van
> het account waarmee ik inlog. Ik kan prins Willem Alexander aanmaken met
> email adres op de Kaaimaneilanden en daarna met m'n RUG account inloggen...
>
> Ik wil de enrollment flow aanpassen, zodat het begint met inloggen via
> SURFconext/SAML en dat alle relevante attributen dan via SURFconext van m'n
> RUG account worden gehaald. Volgens de handleiding zou zoiets moeten
> kunnen:
>
> "COmanage Registry supports obtaining identity attributes from
> authoritative sources (such as via SAML assertions or LDAP directories) and
> loading them into Organizational Identity records as part of an Enrollment
> Flow."
>
> maar ik krijg het niet voor elkaar.
> 1. Als iemand zoiets al wel voor elkaar heeft hoor ik het graag.
> 2. Misschien komt het doordat ik wel CO admin ben, maar geen "platform"
> admin o.i.d. Heb het idee op basis van de documentatie dat ik instellingen
> mis... Maar deels is de documentatie niet meer in sync met versie van
> COManage die we draaien.
>
> Groeten,
>
> Pi
>
>
> -------------------------------------------------------------
> phone: +31 6 143 66 783
> e-mail: pieter.neerincx at gmail.com
> skype: pieter.online
> -------------------------------------------------------------
>
>
> _______________________________________________
> ProjectSCZ-FIAM mailing list
> ProjectSCZ-FIAM at list.surfnet.nl
> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
More information about the ProjectSCZ-FIAM
mailing list