[ProjectSCZ-FIAM] Attributen van SAML login gebruiken in enrollment flow

Raoul Teeuwen raoul.teeuwen at surfnet.nl
Fri Jun 8 15:56:00 CEST 2018 

Ik heb de info uit jullie mails zo goed mogelijk verwerkt op https://wiki.surfnet.nl/pages/viewpage.action?pageId=65798157 
 
Met vriendelijke groet,

Raoul Teeuwen
tel:+31641195989 

Op 08-06-18 14:51 heeft Michiel Uitdehaag - muis IT <info at muisit.nl> geschreven:

    Hoi Pieter,
    
    Ik zie in mijn eigen dev omgeving inderdaad een 'Modifiable' en een
    'Hidden' optie bij de EnrollmentFlow Attributes. Het bijbehorende
    template lijkt niet te wijzigen op basis van rechten oid, dus dan denk
    ik dat het een versie probleem is; dat de versie die nu op pilot staat
    (en op test) nog niet deze velden ondersteund. Ik ga daar uiterlijk
    maandag even achteraan. Maar ik verwacht dat dit dus met de uitrol van
    versie 0.4 (meen ik) vanzelf meekomt. Dan heb je dus onzichtbare velden,
    en/of velden die men niet meer mag aanpassen.
    
    Wat naam betreft: volgens mij is minimaal de Given Name verplicht in de
    database. Bij het veld kun je zoiets ook aangeven. Vanuit de IdPs krijg
    je over het algemeen DisplayName door en die zou je dan in het GivenName
    veld moeten stoppen. De Family Name laat je dan leeg en dat geeft de
    gebruiker dan de kans om zijn naam correct te splitsen, als ze dat willen.
    COmanage ondersteunt helaas (nog) geen displayName.
    
    MELLON_urn:oid:2.16.840.1.113730.3.1.241
    
    is de displayName als het goed is.
    
    Groeten,
    
    Michiel
    
    
    On 08-06-18 13:59, Pieter Neerincx wrote:
    > Hoi Michiel,
    >
    > Dank voor de uitleg en snelle reactie! Hiermee zijn we een stuk verder gekomen. Het email adres komt nu door via SAML van de IdP. Het wordt voor-ingevuld, maar ik kan het nog wel wijzigen en dat is (voor ons) niet de bedoeling. Er staat me iets van bij dat we voorheen ergens een optie hadden om een veld "hidden" te maken te maken tijdens de enrollment, maar dat kunnen we niet meer terug vinden in de huidige COmanage.
    >
    > Voor naam hebben we een ander probleem: het is een samengesteld attribuut o.i.d. We hebben:
    >
    > 	Name (Official, Organizational Identity)
    >
    > Daaronder staat dan
    >
    > 	"A name must consist of at least these fields:"
    > 	"Given Name, Family Name"
    >
    > Welke MELLON_* variabele moeten we daar dan voor hebben of kun je meerdere opgeven?
    >
    > We kunnen ook niet als losse attributen aanmaken met eigen MELLON_* variabelen, want er is geen
    >
    > 	Given Name (Official, Organizational Identity)
    > 	Family Name (Official, Organizational Identity)
    >
    > o.i.d.
    >
    > Groeten,
    >
    > Pi
    >
    >
    >
    >> On 8 Jun 2018, at 13:05, Michiel Uitdehaag - muis IT <info at muisit.nl> wrote:
    >>
    >> Hoi Pieter,
    >>
    >> Ik vrees dat het op dit moment nog niet zo eenvoudig is.
    >>
    >> De 'oude' (3.0) situatie maakte gebruik van de mogelijkheid om, voor
    >> alle COs over het hele platform, om de SAML omgevingsattributen in te
    >> lezen tijdens de enrollment. Het nadeel daarvan was dat dit alle
    >> 'invitation' enrollment flows overhoop gooide.
    >>
    >> In de nieuwe 3.1 situatie is daar iets voor in de plaats gekomen dat
    >> 'Organizational Identity Source' (OIS) heet. Die zou je in staat moeten
    >> stellen om dit gedrag per CO en per enrollment flow te configureren.
    >> Maar dat is lastiger dan het leek toen het werd aangekondigd. Het lijkt
    >> erop dat deze weg niet in staat is om de velden vooraf in te vullen op
    >> basis van de SAML data.
    >>
    >> Wat je op dit moment volgens mij wel kunt doen, is bij de Enrollment
    >> Flow Attributes opgeven op basis van welke environment variabele ze
    >> moeten worden gezet. En dat is natuurlijk lastig, want je weet niet hoe
    >> die environment variabelen nu heten.
    >> Ze beginnen allemaal met 'MELLON_' en daarna volgt de SAML oid URN. Dus
    >> bijvoorbeeld:
    >>
    >> MELLON_urn:oid:0.9.2342.19200300.100.1.3
    >>
    >> voor een mail adres.
    >>
    >> Of:
    >>
    >> MELLON_urn:oid:2.16.840.1.113730.3.1.241
    >>
    >> voor de displayName.
    >>
    >> Het probleem hierbij is dat we niet zeker weten welke SAML attributen er
    >> door de originele IdP worden doorgegeven. Een aantal attributen zijn
    >> verplicht (binnen R&S en CoCo, als ik me niet vergis in de
    >> terminologie), maar daarbuiten is het klaarblijkelijk 'divers' wat er
    >> aangeleverd wordt.
    >> Een ander probleem is dat sommige attributen onder verschillende namen
    >> kunnen worden doorgegeven en je kunt bij de Enrollment Flow attributen
    >> maar 1 variabele opgeven.
    >>
    >> Ik ben 'as we speak' aan het kijken naar een manier om de COmanage zover
    >> te krijgen om een eventueel gekoppelde OrgIdentity (bijvoorbeeld een
    >> OrgIdentity die is gemaakt als gevolg van een OIS plugin) te gebruiken
    >> als basis voor deze attributen. Het is me nog niet duidelijk of dat via
    >> een Enrollment flow plugin kan, of dat daarvoor echt in COmanage moet
    >> worden geknutseld. Maar het staat op de radar.
    >>
    >> Groeten,
    >>
    >> Michiel
    >>
    >>
    >> On 08-06-18 12:24, Pieter Neerincx wrote:
    >>> Hi allen,
    >>>
    >>> In het verleden hebben we het voor de BBMRI als het goed is voor elkaar gehad om tijdens een enrollment flow naam, email, etc. uit de SAML attributen te halen, zodat ze niet ingevuld hoeven te worden door de gebruiker (en er dus ook geen verkeerde info opgegeven kan worden). Ik zit nu met Remco te stoeien met een test machine die we aan de SCZ COmanage en BBMRI CO hebben gehangen, maar we krijgen het niet meer voor elkaar. Bij elke bestaande enrollment flow die we al hadden of al we een nieuwe maken moeten de velden voor de attributen worden ingevuld en komt de info van de IdP niet door :(. Met de documentatie van COmanage zelf en op de SCZ wiki komen we er niet uit.
    >>>
    >>> Wie kan ons in een paar bullets vertellen wat we waar moeten configureren?
    >>>
    >>> Groeten,
    >>>
    >>> Pieter
    >>>
    >>>
    >>> -------------------------------------------------------------
    >>> phone: +31 6 143 66 783
    >>> e-mail: pieter.neerincx at gmail.com
    >>> skype:  pieter.online
    >>> -------------------------------------------------------------
    >>>
    >>>
    >>> _______________________________________________
    >>> ProjectSCZ-FIAM mailing list
    >>> ProjectSCZ-FIAM at list.surfnet.nl
    >>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
    >> -- 
    >> muis IT
    >> e: info at muisit.nl
    >> w: http://www.muisit.nl
    >> t: 06-49331243
    >>
    >>
    >>
    >> _______________________________________________
    >> ProjectSCZ-FIAM mailing list
    >> ProjectSCZ-FIAM at list.surfnet.nl
    >> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
    > -------------------------------------------------------------
    > phone: +31 6 143 66 783
    > e-mail: pieter.neerincx at gmail.com
    > skype:  pieter.online
    > -------------------------------------------------------------
    >
    >
    > _______________________________________________
    > ProjectSCZ-FIAM mailing list
    > ProjectSCZ-FIAM at list.surfnet.nl
    > https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
    
    -- 
    muis IT
    e: info at muisit.nl
    w: http://www.muisit.nl
    t: 06-49331243
    
    
    
    _______________________________________________
    ProjectSCZ-FIAM mailing list
    ProjectSCZ-FIAM at list.surfnet.nl
    https://list.surfnet.nl/mailman/listinfo/projectscz-fiam

More information about the ProjectSCZ-FIAM mailing list