CSC Haka SAML2 knowledge base

CSC Haka

Vaalijärjestelmä rekisteröidään Service Providerina (SP) CSC Hakan resurssirekisteriin.

Vaalijärjestelmä ohjaa käyttäjän suoraan Helsingin yliopiston sisäänkirjautumissivulle (Identity Provider, IdP).

Tekninen toteutus käyttää sovelluskerroksen SAML2-kirjastoa, mutta ei käytä Shibbolethia. Shibboleth on web-applikaatioserverikerroksen toteutus, josta ei v2016 löytynyt kypsännäköistä toteutusta Rubyn Puma/Unicorn-applikaatioserverille. Vaalijärjestelmällä ei ole käytettävissä Apachea.

Sisäänkirjautuminen

• Käyttäjä ohjataan suoraan Helsingin yliopiston kirjautumissivulle.
• Käyttäjän ei pidä joutua valitsemaan kotiorganisaatiotansa CSC Hakan WAYF-välisivun listasta.
• Sisäänkirjautumisessa kelpuutetaan ainoastaan Helsingin yliopiston käyttäjätunnukset (entityID=xyz.helsinki.fi).
• IdP välittää sisäänkirjautumisen tiedoissa opiskelijanumeron.
• Sisäänkirjautuneen käyttäjän äänioikeus tarkistetaan opiskelijanumeroa vasten paikallisesta (omasta) äänioikeutettujen rekisteristä (Voters taulu).

Attribuutit

• Opiskelijanumero: schacPersonalUniqueCode
• Helsingin yliopiston opiskelijanumero muotoa: urn:mace:terena.org:schac:personalUniqueCode:int:studentID:helsinki.fi:165934
• SP:n pyydettävissä olevat attribuutit
• Helsingin yliopiston attribuutit

Metadata

https://confluence.csc.fi/display/HAKA/Metadata

Haka-operaattori julkaisee uuden metadatan keskimäärin kerran kahden viikon kuluessa. Metadatassa ilmoitetaan validuntil-attribuutti, joka ilmaisee metadatan vanhenemisen. Hakassa metadata on voimassa maksimissaan neljä viikkoa julkaisusta.

Ilmoitteassasi Haka-operointiin entiteettisi metatiedon muutoksesta huomoi, että muutos tulee voimaan vasta seuraavan metadatajulkaisun yhteydessä. Julkaisuhetkestä kuluu vielä vuorkausi ennen kuin kaikki muut entiteetit ovat noutaneet uuden metadatan.

SAML-profiili

https://confluence.csc.fi/display/HAKA/SAML-profiili

• Sertifikaatin vaihtaminen
• SAML-varmenteet
  • Hakassa käytettävän SAML-viestien vaihdon suojaamiseen tarkoitetun varmenteen uusimiseen on varattava aikaa n. kuukausi.
  • SAML-varmenne julkaistaan muille verkoston entiteeteille Haka-metadatassa. Hakassa metadatan normaali julkaisusykli on noin kerran kahden viikon aikana.
  • Huomaa, että käyttäjälle näkyvän HTTP-liikenteen suojaamiseen käytettävän SSL-varmenteen ei tarvitse olla sama, jota käytetään Hakassa SAML-viestien suojaamiseen.

CSC Hakan Testipalvelu

• Hakan ohjeet
• Hakan Test metadata
• Vaalijärjestelmän Hakaan rekisteröity testi-SP:
  • SP Login page URL: http://localhost.enemy.fi:3000/saml_sp_login/new
  • SP Consumer URL: http://localhost.enemy.fi:3000/saml_sp_login/consume
  • Issuer: hyy.voting.test.local
  • Name identifier format: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • Sertifikaatit: kysy Petrus Repo
  • Resurssirekisterissä id=773

Sertifikaatti Hakan resurssirekisteriin

Generoitu self-signed cert: openssl req -x509 -nodes -newkey rsa:2048 -keyout key.pem -out cert.pem -days 3650

• Hakan vaatima minimipituus 2048 bits
• DirName:/C=FI/ST=ESL/L=Helsinki/O=Helsingin yliopiston ylioppilaskunta/CN=vaalit.hyy.fi
• Jätä email tyhjäksi

Näytä sertifikaatin tiedot: openssl x509 -in cert.pem -text -noout

Issues:

• SAML2 metadata is not found from EntitiesDescriptor (plural) with idp_metadata_parser()