Hej,

Planen är att skriva några rader om detta i vår wiki, men jag har inte hunnit det.
Jag har suttit med Kent och labbat lite för ADFS Toolkits räkning.

Det luriga med Harica är att de vill ha eduPersonTargetedID, men inte som ett persitentID. De begär nämligen ett transientID.

Jag lade in följande i Get-ADFSTkLocalManualSPSettings.ps1 vilket verkar fungera bra:

### Harica PROD

$ManualSPSettings = @{
        TransformRules = [Ordered]@{}
   }

$ManualSPSettings.TransformRules.givenName = $AllTransformRules.givenName
$ManualSPSettings.TransformRules.sn = $AllTransformRules.sn
$ManualSPSettings.TransformRules.mail = $AllTransformRules.mail
$ManualSPSettings.TransformRules.'transient-id' = $AllTransformRules.'transient-id'
$ManualSPSettings.TransformRules.eduPersonPrimaryAffiliation = $AllTransformRules.eduPersonPrimaryAffiliation
$ManualSPSettings.TransformRules.eduPersonPrincipalName = $AllTransformRules.eduPersonPrincipalName
$ManualSPSettings.TransformRules.schacHomeOrganization = $AllTransformRules.schacHomeOrganization

$ManualSPSettings.TransformRules.eduPersonTargetedId = [PSCustomObject]@{
        Rule=@"

        @RuleName = "Transform norEduPersonLIN"
        c:[Type == "urn:mace:dir:attribute-def:norEduPersonLIN"]
        => issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.10",
                 Value = c.Value,
                 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");
"@
        Attribute="urn:mace:dir:attribute-def:norEduPersonLIN"
    }
$ManualSPSettings.TransformRules.eduPersonEntitlement = [PSCustomObject]@{
    Rule=@"
    @RuleName = "Set eduPersonEntitlement for AL2 users"
    c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value == "member-liu.se"]
 => issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.7", Value = "urn:mace:terena.org:tcs:personal-user", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/attributename"] = "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");
"@
    Attribute="http://schemas.xmlsoap.org/claims/Group"
}

$IssuanceTransformRuleManualSP["https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp"] = $ManualSPSettings

### Harica STAGING
$IssuanceTransformRuleManualSP["https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp"] = $ManualSPSettings

### Harica DEV
$IssuanceTransformRuleManualSP["https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp"] = $ManualSPSettings

###


Med vänlig hälsning
Johan Peterson
IT-Arkitekt

Linköpings universitet

Digitaliseringsavdelningen
DIG❤️IT
581 83 Linköping
Telefon: 013-28 5730
Mobil: 0703-222 405
Besöksadress: Hus Galaxen
Besök oss gärna på: www.liu.se
Boka ett möte med mig

När du skickar e-post till Linköpings universitet innebär detta att Linköpings universitet behandlar dina personuppgifter. Läs mer om hur detta går till på https://liu.se/artikel/integritetspolicy-liu

 

 


From: Björn Sandell
Sent: Monday, April 28, 2025 09:07
To: Tomas Liljebergh; saml-admins@lists.sunet.se; Mats Luspa
Subject: [Saml-admins] Re: SSO Login Harica (Shibboleth)

Hej,

Jag drog igång det i slutet av förra veckan, iofs på ADFS. Inga större konstigheter egentligen, men jag hade kanske tur. För edupersonTargetedID bygger jag ihop ett värde på samma sätt som för ett persistent NameID men släpper det som  urn:oid:1.3.6.1.4.1.5923.1.1.1.10


/Björn

From: Tomas Liljebergh <Tomas.Liljebergh@oru.se>
Sent: Monday, April 28, 2025 08:50
To: saml-admins@lists.sunet.se <saml-admins@lists.sunet.se>; Mats Luspa <mats.luspa@irf.se>
Subject: [Saml-admins] Re: SSO Login Harica (Shibboleth)
 
Some people who received this message don't often get email from tomas.liljebergh@oru.se. Learn why this is important
Hej!

Har de öppnat för SSO?
Kent o TCS har meddelat att det tillsvidare inte fungerar men jag kan ha missat något meddelande!

VI har testat och fått samma fel!

//Tomas
From: Mats Luspa via Saml-admins <saml-admins@lists.sunet.se>
Sent: Monday, April 28, 2025 8:48
To: saml-admins@lists.sunet.se <saml-admins@lists.sunet.se>
Subject: [Saml-admins] SSO Login Harica (Shibboleth)
 
Hej!

Enligt dokumentation här
https://wiki.geant.org/pages/viewpage.action?spaceKey=TCSNT&title=TCS+2025+FAQ#TCS2025FAQ-IsSAMLSupported?
så kräver Harica följande attribut:
givenName (oid:2.5.4.42)
surname (oid:2.5.4.4)
mail (oid:0.9.2342.19200300.100.1.3)
edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)

Men jag har problem att få iväg attributet edupersonTargetedID till Harica.

I attribute-filter har jag följande:

<AttributeFilterPolicy id="Harica">
         <PolicyRequirementRule xsi:type="Requester"
value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp"
/>
         <AttributeRule attributeID="givenName">
                 <PermitValueRule xsi:type="ANY" />
         </AttributeRule>
         <AttributeRule attributeID="surname">
                 <PermitValueRule xsi:type="ANY"/>
         </AttributeRule>
         <AttributeRule attributeID="mail">
                 <PermitValueRule xsi:type="ANY" />
         </AttributeRule>
         <AttributeRule attributeID="edupersonTargetedID">
                 <PermitValueRule xsi:type="ANY"/>
         </AttributeRule>
         <AttributeRule attributeID="tcsPersonalEntitlement">
                 <PermitValueRule xsi:type="ANY" />
         </AttributeRule>
         <AttributeRule attributeID="eduPersonPrincipalName">
                 <PermitValueRule xsi:type="ANY"/>
         </AttributeRule>
         <AttributeRule attributeID="schacHomeOrganization">
                 <PermitValueRule xsi:type="ANY"/>
         </AttributeRule>
         <AttributeRule attributeID="eduPersonPrimaryAffiliation">
                 <PermitValueRule xsi:type="ANY"/>
         </AttributeRule>
</AttributeFilterPolicy>

I attribute-resolver:

  <AttributeDefinition xsi:type="SAML2NameID"
xmlns="urn:mace:shibboleth:2.0:resolver" id="edupersonTargetedID"
nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
         <InputDataConnector ref="StoredId" attributeNames="persistentId"/>
         <AttributeEncoder xsi:type="SAML1XMLObject"
name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" />
         <AttributeEncoder xsi:type="SAML2XMLObject"
name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10"
friendlyName="edupersonTargetedID" />
         </AttributeDefinition>

När jag loggar in så skickas attributet edupersonTargetedID enligt
bilaga, men det ser ut som Harica vägrar att ta emot detta då jag får
felmeddelande:
Cannot create your account
Your Identity Provider (IdP) does not provide HARICA with the
appropriate info (attributes) for your account.
Please contact your IdP, to fix this issue.

Testade även med https://cm.harica.gr/loginsaml/test.php och då får jag
att dessa attibut kommer fram (trots att attributen skickas enligt
bilaga alltså):
eduPersonPrincipalName: matsl@irf.se
schacHomeOrganization: irf.se
sn: Luspa
eduPersonEntitlement: urn:mace:terena.org:tcs:personal-user
eduPersonPrimaryAffiliation: The Swedish Institute of Space Physics
givenName: Mats
mail: mats.luspa@irf.se
groups: realm-irf.se, users, members

Är det någon i denna lista som fått SSO login till Harica att fungera
med idp shibboleth (ver. 5.1.4)?

/MVH Mats

--
--
Mats Luspa
Phone: +46 (0)980 79 022
Cellular phone: +46 (0)725813330
Institutet för rymdfysik               Fax: +46 (0)980 79 050
Swedish Institute of Space Physics      email: matsl@irf.se
Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
Postal address: Box 812, SE-981 28 Kiruna
--
PGP Public Key: https://www.irf.se/pgp/matsl
Digital vcard: https://www.irf.se/vcard/mats.luspa