[ProjectSCZ-FIAM] Obtaining identity attributes from authoritative sources

Pieter Neerincx pieter.neerincx at gmail.com
Fri Nov 17 15:55:45 CET 2017 

Hallo Martin,

> On 17 Nov 2017, at 14:14, Martin van Es <martin at surfnet.nl> wrote:
> 
> Beste Pieter,
> 
> Ik weet niet precies welke handleiding je hebt gebruikt

Die van https://spaces.internet2.edu/display/COmanage/....

> , maar wat ik wel weet 
> is het voldende:
> 
> COManage is niet native SAML aware en wordt federatief ontsloten door gebruik 
> temaken van een authentication module binnen de webserver (typisch shibolleth 
> of mod_mellon onder apache). Deze authentication modules vullen na succesvolle 
> authenticatie een environment variable REMOTE_USER zodat de geproxy'de 
> applicatie "blindelings" kan vertrouwens dat de gebruiker met 
> username=REMOTE_USER ingelogd is. Daarnaasst vult deze module nog een aantal 
> andere environment variabelen met een te configureren prefix. In het geval van 
> mod_mellon is dat MELLON_. Voor Shibboleth zou dat wel eens iets anders kunnen 
> zijn. Bovendien moet je in mod_mellon ook aangeven welke SAML attributen in 
> het environment terecht moeten komen (MellonSetEnv, of MellonSetEnvNoPrefix 
> zonder prefix).
> 
> Het is dus zaak in COManage de (MELLON_)* attributen uit het environment te 
> lepelen en in te vullen op de juiste plekken.
> 
> Ergens in het vertaling van SAML -> environment > COManage form gaat het dus 
> mis bij je.

Check, dat bevestigd m'n vermoeden en is ook wat ik opgemaakt had uit:

	https://spaces.internet2.edu/display/COmanage/Registry+Platform+Configuration#RegistryPlatformConfiguration-SourcingOrganizationalIdentities

maar als je het mij vraagt kan ik daar als CO admin niet aan sleutelen en zij dit een per platform settings...

Groeten,

Pi

> Grt
> Martin
> 
> On Friday, November 17, 2017 1:04:21 PM CET Pieter Neerincx wrote:
>> Hi allen,
>> 
>> Op de BBMRI test COManage zit nu een enrollment flow, waarbij je eerst moet
>> opgeven:
>> 
>> 1. Naam
>> 2. Email adres
>> 3. Affiliation
>>   etc.
>> 
>> en daarna pas inlogt via SURFconext/SAML. Het gevolg is dat ik klink klare
>> onzin kan opgeven die niet matcht met wat er aan attributen mee komt van
>> het account waarmee ik inlog. Ik kan prins Willem Alexander aanmaken met
>> email adres op de Kaaimaneilanden en daarna met m'n RUG account inloggen...
>> 
>> Ik wil de enrollment flow aanpassen, zodat het begint met inloggen via
>> SURFconext/SAML en dat alle relevante attributen dan via SURFconext van m'n
>> RUG account worden gehaald. Volgens de handleiding zou zoiets moeten
>> kunnen:
>> 
>> 	"COmanage Registry supports obtaining identity attributes from
>> authoritative sources (such as via SAML assertions or LDAP directories) and
>> loading them into Organizational Identity records as part of an Enrollment
>> Flow."
>> 
>> maar ik krijg het niet voor elkaar.
>> 1. Als iemand zoiets al wel voor elkaar heeft hoor ik het graag.
>> 2. Misschien komt het doordat ik wel CO admin ben, maar geen "platform"
>> admin o.i.d. Heb het idee op basis van de documentatie dat ik instellingen
>> mis... Maar deels is de documentatie niet meer in sync met versie van
>> COManage die we draaien.
>> 
>> Groeten,
>> 
>> Pi
>> 
>> 
>> -------------------------------------------------------------
>> phone: +31 6 143 66 783
>> e-mail: pieter.neerincx at gmail.com
>> skype:  pieter.online
>> -------------------------------------------------------------
>> 
>> 
>> _______________________________________________
>> ProjectSCZ-FIAM mailing list
>> ProjectSCZ-FIAM at list.surfnet.nl
>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
> 

-------------------------------------------------------------
phone: +31 6 143 66 783
e-mail: pieter.neerincx at gmail.com
skype:  pieter.online
-------------------------------------------------------------

More information about the ProjectSCZ-FIAM mailing list