[ProjectSCZ-FIAM] Attributen van SAML login gebruiken in enrollment flow

Pieter Neerincx pieter.neerincx at gmail.com
Fri Jun 8 16:54:11 CEST 2018 

Hoi Michiel,

> On 8 Jun 2018, at 14:49, Michiel Uitdehaag - muis IT <info at muisit.nl> wrote:
> 
> Hoi Pieter,
> 
> Ik zie in mijn eigen dev omgeving inderdaad een 'Modifiable' en een
> 'Hidden' optie bij de EnrollmentFlow Attributes. Het bijbehorende
> template lijkt niet te wijzigen op basis van rechten oid, dus dan denk
> ik dat het een versie probleem is; dat de versie die nu op pilot staat
> (en op test) nog niet deze velden ondersteund. Ik ga daar uiterlijk
> maandag even achteraan. Maar ik verwacht dat dit dus met de uitrol van
> versie 0.4 (meen ik) vanzelf meekomt. Dan heb je dus onzichtbare velden,
> en/of velden die men niet meer mag aanpassen.

Ok misschien dat het in een volgende versie weer beter is, maar we zijn er inmiddels achter dat het af lijkt te hangen van het "type" attribuut. Bij

	Home > BBMRI-NL > Enrollment Flows > Self Signup With Approval (Pieter) > Enrollment Attributes > Edit

heb je een veld attribute met een popup menuutje. Als we daar een willekeurig

	Name (whatever)

naam attribuut selecteren, dan krijg je geen opties voor "Hidden" noch voor "Modifiable". Voor sommige andere attributen of als je er extra met met "extended attributes", dan krijg je die velden wel.

Overigens werkt "Hidden" wel, maar "Modifiable" niet. Met of zonder vinkje bij die laatste optie maakt geen verschil en ik kan de voor-ingevulde waarde die van de IdP kwam wijzigen :o.

> Wat naam betreft: volgens mij is minimaal de Given Name verplicht in de
> database. Bij het veld kun je zoiets ook aangeven. Vanuit de IdPs krijg
> je over het algemeen DisplayName door en die zou je dan in het GivenName
> veld moeten stoppen. De Family Name laat je dan leeg en dat geeft de
> gebruiker dan de kans om zijn naam correct te splitsen, als ze dat willen.
> COmanage ondersteunt helaas (nog) geen displayName.
> 
> MELLON_urn:oid:2.16.840.1.113730.3.1.241
> 
> is de displayName als het goed is.

We hebben zoiets geprobeerd met displayName, maar we krijgen dat met geen mogelijkheid in een "Name (whatever)" attribuut. Als we een extended attribuut maken met de naam "givenname" o.i.d., dan kunnen we die wel vullen met een waarde van de IdP, maar resulteert klikken op de submit button van een petition in een SQL error:

	SQLSTATE[23000]: Integrity constraint violation: 1048 Column 'co_person_id' cannot be null

Om met een setje positieve noten te eindigen:

 * De nieuwe "terms and conditions" die in COmanage zelf worden opgeslagen werken prima
 * De COadmins krijgen nu een email notification als er nieuwe petitions of updates m.b.t. petitions zijn

Groeten,

Pi

> Groeten,
> 
> Michiel
> 
> 
> On 08-06-18 13:59, Pieter Neerincx wrote:
>> Hoi Michiel,
>> 
>> Dank voor de uitleg en snelle reactie! Hiermee zijn we een stuk verder gekomen. Het email adres komt nu door via SAML van de IdP. Het wordt voor-ingevuld, maar ik kan het nog wel wijzigen en dat is (voor ons) niet de bedoeling. Er staat me iets van bij dat we voorheen ergens een optie hadden om een veld "hidden" te maken te maken tijdens de enrollment, maar dat kunnen we niet meer terug vinden in de huidige COmanage.
>> 
>> Voor naam hebben we een ander probleem: het is een samengesteld attribuut o.i.d. We hebben:
>> 
>> 	Name (Official, Organizational Identity)
>> 
>> Daaronder staat dan
>> 
>> 	"A name must consist of at least these fields:"
>> 	"Given Name, Family Name"
>> 
>> Welke MELLON_* variabele moeten we daar dan voor hebben of kun je meerdere opgeven?
>> 
>> We kunnen ook niet als losse attributen aanmaken met eigen MELLON_* variabelen, want er is geen
>> 
>> 	Given Name (Official, Organizational Identity)
>> 	Family Name (Official, Organizational Identity)
>> 
>> o.i.d.
>> 
>> Groeten,
>> 
>> Pi
>> 
>> 
>> 
>>> On 8 Jun 2018, at 13:05, Michiel Uitdehaag - muis IT <info at muisit.nl> wrote:
>>> 
>>> Hoi Pieter,
>>> 
>>> Ik vrees dat het op dit moment nog niet zo eenvoudig is.
>>> 
>>> De 'oude' (3.0) situatie maakte gebruik van de mogelijkheid om, voor
>>> alle COs over het hele platform, om de SAML omgevingsattributen in te
>>> lezen tijdens de enrollment. Het nadeel daarvan was dat dit alle
>>> 'invitation' enrollment flows overhoop gooide.
>>> 
>>> In de nieuwe 3.1 situatie is daar iets voor in de plaats gekomen dat
>>> 'Organizational Identity Source' (OIS) heet. Die zou je in staat moeten
>>> stellen om dit gedrag per CO en per enrollment flow te configureren.
>>> Maar dat is lastiger dan het leek toen het werd aangekondigd. Het lijkt
>>> erop dat deze weg niet in staat is om de velden vooraf in te vullen op
>>> basis van de SAML data.
>>> 
>>> Wat je op dit moment volgens mij wel kunt doen, is bij de Enrollment
>>> Flow Attributes opgeven op basis van welke environment variabele ze
>>> moeten worden gezet. En dat is natuurlijk lastig, want je weet niet hoe
>>> die environment variabelen nu heten.
>>> Ze beginnen allemaal met 'MELLON_' en daarna volgt de SAML oid URN. Dus
>>> bijvoorbeeld:
>>> 
>>> MELLON_urn:oid:0.9.2342.19200300.100.1.3
>>> 
>>> voor een mail adres.
>>> 
>>> Of:
>>> 
>>> MELLON_urn:oid:2.16.840.1.113730.3.1.241
>>> 
>>> voor de displayName.
>>> 
>>> Het probleem hierbij is dat we niet zeker weten welke SAML attributen er
>>> door de originele IdP worden doorgegeven. Een aantal attributen zijn
>>> verplicht (binnen R&S en CoCo, als ik me niet vergis in de
>>> terminologie), maar daarbuiten is het klaarblijkelijk 'divers' wat er
>>> aangeleverd wordt.
>>> Een ander probleem is dat sommige attributen onder verschillende namen
>>> kunnen worden doorgegeven en je kunt bij de Enrollment Flow attributen
>>> maar 1 variabele opgeven.
>>> 
>>> Ik ben 'as we speak' aan het kijken naar een manier om de COmanage zover
>>> te krijgen om een eventueel gekoppelde OrgIdentity (bijvoorbeeld een
>>> OrgIdentity die is gemaakt als gevolg van een OIS plugin) te gebruiken
>>> als basis voor deze attributen. Het is me nog niet duidelijk of dat via
>>> een Enrollment flow plugin kan, of dat daarvoor echt in COmanage moet
>>> worden geknutseld. Maar het staat op de radar.
>>> 
>>> Groeten,
>>> 
>>> Michiel
>>> 
>>> 
>>> On 08-06-18 12:24, Pieter Neerincx wrote:
>>>> Hi allen,
>>>> 
>>>> In het verleden hebben we het voor de BBMRI als het goed is voor elkaar gehad om tijdens een enrollment flow naam, email, etc. uit de SAML attributen te halen, zodat ze niet ingevuld hoeven te worden door de gebruiker (en er dus ook geen verkeerde info opgegeven kan worden). Ik zit nu met Remco te stoeien met een test machine die we aan de SCZ COmanage en BBMRI CO hebben gehangen, maar we krijgen het niet meer voor elkaar. Bij elke bestaande enrollment flow die we al hadden of al we een nieuwe maken moeten de velden voor de attributen worden ingevuld en komt de info van de IdP niet door :(. Met de documentatie van COmanage zelf en op de SCZ wiki komen we er niet uit.
>>>> 
>>>> Wie kan ons in een paar bullets vertellen wat we waar moeten configureren?
>>>> 
>>>> Groeten,
>>>> 
>>>> Pieter
>>>> 
>>>> 
>>>> -------------------------------------------------------------
>>>> phone: +31 6 143 66 783
>>>> e-mail: pieter.neerincx at gmail.com
>>>> skype:  pieter.online
>>>> -------------------------------------------------------------
>>>> 
>>>> 
>>>> _______________________________________________
>>>> ProjectSCZ-FIAM mailing list
>>>> ProjectSCZ-FIAM at list.surfnet.nl
>>>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
>>> -- 
>>> muis IT
>>> e: info at muisit.nl
>>> w: http://www.muisit.nl
>>> t: 06-49331243
>>> 
>>> 
>>> 
>>> _______________________________________________
>>> ProjectSCZ-FIAM mailing list
>>> ProjectSCZ-FIAM at list.surfnet.nl
>>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
>> -------------------------------------------------------------
>> phone: +31 6 143 66 783
>> e-mail: pieter.neerincx at gmail.com
>> skype:  pieter.online
>> -------------------------------------------------------------
>> 
>> 
>> _______________________________________________
>> ProjectSCZ-FIAM mailing list
>> ProjectSCZ-FIAM at list.surfnet.nl
>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
> 
> -- 
> muis IT
> e: info at muisit.nl
> w: http://www.muisit.nl
> t: 06-49331243
> 
> 
> 
> _______________________________________________
> ProjectSCZ-FIAM mailing list
> ProjectSCZ-FIAM at list.surfnet.nl
> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam

-------------------------------------------------------------
phone: +31 6 143 66 783
e-mail: pieter.neerincx at gmail.com
skype:  pieter.online
-------------------------------------------------------------

More information about the ProjectSCZ-FIAM mailing list