[Saml-admins] Re: SSO Login Harica (Shibboleth)

28 Apr 2025


      Johan Peterson via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt; writes:
...
  Hej,
 Planen är att skriva några rader om detta i vår wiki, men jag har inte hunnit det.
 Jag har suttit med Kent och labbat lite för ADFS Toolkits räkning. 
Tack för hjälpen! Min plan är att länka till den informationen från
TCS-FAQn på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Om någon får till motsvarande exempel för Shibboleth så vill jag länka
till den, eller lägga upp den direkt i vår FAQ om det behövs.
...
  Det luriga med Harica är att de vill ha
eduPersonTargetedID, men inte
 som ett persitentID. De begär nämligen ett transientID. 
Just ja, det var ju det vi klurade en hel del med.
En kommentar om de olika instanserna nedan:
PROD(UCTION) är cm.harica.gr, den som ni vill att det ska fungera med på
riktigt.
STAGING är cm-stg.harica.gr, ska köra samma kod som PROD men har inte
samma databas och utfärdar inte certifikat giltiga i världen. Ni kan vilja använda
denna för testning av SAML-inloggning för att inte riskera att förvirra
något i PROD eller skapa skräpkonton i PROD. Ni kommer dock inte vidare med
annan testning där rakt av eftersom era Enterprises inte finns skapade
där.
DEV är cm-dev.harica.gr, där HARICA kan testa nyare kod, och med egen
databas och som inte utfärdar giltiga certifikat. Jag tror inte ni
behöver bry er om den tillvidare.
> Jag lade in följande i Get-ADFSTkLocalManualSPSettings.ps1 vilket verkar fungera bra:
>
> ### Harica PROD
>
> $ManualSPSettings = @{
>         TransformRules = [Ordered]@{}
>    }
>
> $ManualSPSettings.TransformRules.givenName = $AllTransformRules.givenName
> $ManualSPSettings.TransformRules.sn = $AllTransformRules.sn
> $ManualSPSettings.TransformRules.mail = $AllTransformRules.mail
> $ManualSPSettings.TransformRules.'transient-id' =
$AllTransformRules.'transient-id'
> $ManualSPSettings.TransformRules.eduPersonPrimaryAffiliation =
$AllTransformRules.eduPersonPrimaryAffiliation
> $ManualSPSettings.TransformRules.eduPersonPrincipalName =
$AllTransformRules.eduPersonPrincipalName
> $ManualSPSettings.TransformRules.schacHomeOrganization =
$AllTransformRules.schacHomeOrganization
>
> $ManualSPSettings.TransformRules.eduPersonTargetedId = [PSCustomObject]@{
>         Rule=@"
>
>         @RuleName = "Transform norEduPersonLIN"
>         c:[Type == "urn:mace:dir:attribute-def:norEduPersonLIN"]
>         => issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.10",
>                  Value = c.Value,
>
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproper…
= "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");
> "@
>         Attribute="urn:mace:dir:attribute-def:norEduPersonLIN"
>     }
> $ManualSPSettings.TransformRules.eduPersonEntitlement = [PSCustomObject]@{
>     Rule=@"
>     @RuleName = "Set eduPersonEntitlement for AL2 users"
>     c:[Type == "http://schemas.xmlsoap.org/claims/Group", Value ==
"member-liu.se"]
>  => issue(Type = "urn:oid:1.3.6.1.4.1.5923.1.1.1.7", Value =
"urn:mace:terena.org:tcs:personal-user",
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproper…
= "urn:oasis:names:tc:SAML:2.0:attrname-format:uri");
> "@
>     Attribute="http://schemas.xmlsoap.org/claims/Group"
> }
>
>
$IssuanceTransformRuleManualSP["https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp"]
= $ManualSPSettings
>
> ### Harica STAGING
>
$IssuanceTransformRuleManualSP["https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp"]
= $ManualSPSettings
>
> ### Harica DEV
>
$IssuanceTransformRuleManualSP["https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp"]
= $ManualSPSettings
>
> ###
>
>
>
> Med vänlig hälsning
> Johan Peterson
> IT-Arkitekt
>
> [Linköpings universitet]
>
> Digitaliseringsavdelningen
> DIG❤️IT
> 581 83 Linköping
> Telefon: 013-28 5730
> Mobil: 0703-222 405
> Besöksadress: Hus Galaxen
> Besök oss gärna på: www.liu.se<http://www.liu.se/>
> Boka ett möte med
mig<https://outlook.office365.com/owa/calendar/Bookameetingwithme@liuonl…
>
> När du skickar e-post till Linköpings universitet innebär detta att Linköpings
universitet behandlar dina personuppgifter. Läs mer om hur detta går till på
https://liu.se/artikel/integritetspolicy-liu
>
>
>
>
>
> ________________________________
> From: Björn Sandell
> Sent: Monday, April 28, 2025 09:07
> To: Tomas Liljebergh; saml-admins(a)lists.sunet.se; Mats Luspa
> Subject: [Saml-admins] Re: SSO Login Harica (Shibboleth)
>
> Hej,
>
> Jag drog igång det i slutet av förra veckan, iofs på ADFS. Inga större konstigheter
egentligen, men jag hade kanske tur. För edupersonTargetedID bygger jag ihop ett värde på
samma sätt som för ett persistent NameID men släpper det som
urn:oid:1.3.6.1.4.1.5923.1.1.1.10
>
>
> /Björn
>
> ________________________________
> From: Tomas Liljebergh &lt;Tomas.Liljebergh(a)oru.se&gt;
> Sent: Monday, April 28, 2025 08:50
> To: saml-admins(a)lists.sunet.se &lt;saml-admins(a)lists.sunet.se&gt;; Mats Luspa
&lt;mats.luspa(a)irf.se&gt;
> Subject: [Saml-admins] Re: SSO Login Harica (Shibboleth)
>
> Some people who received this message don't often get email from
tomas.liljebergh(a)oru.se. Learn why this is
important<https://aka.ms/LearnAboutSenderIdentification>
> Hej!
>
> Har de öppnat för SSO?
> Kent o TCS har meddelat att det tillsvidare inte fungerar men jag kan ha missat något
meddelande!
>
> VI har testat och fått samma fel!
>
> //Tomas
> ________________________________
> From: Mats Luspa via Saml-admins &lt;saml-admins(a)lists.sunet.se&gt;
> Sent: Monday, April 28, 2025 8:48
> To: saml-admins(a)lists.sunet.se &lt;saml-admins(a)lists.sunet.se&gt;
> Subject: [Saml-admins] SSO Login Harica (Shibboleth)
>
> Hej!
>
> Enligt dokumentation här
>
https://wiki.geant.org/pages/viewpage.action?spaceKey=TCSNT&title=TCS+2…
> så kräver Harica följande attribut:
> givenName (oid:2.5.4.42)
> surname (oid:2.5.4.4)
> mail (oid:0.9.2342.19200300.100.1.3)
> edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
>
> Men jag har problem att få iväg attributet edupersonTargetedID till Harica.
>
> I attribute-filter har jag följande:
>
> <AttributeFilterPolicy id="Harica">
>          <PolicyRequirementRule xsi:type="Requester"
>
value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp"
> />
>          <AttributeRule attributeID="givenName">
>                  <PermitValueRule xsi:type="ANY" />
>          </AttributeRule>
>          <AttributeRule attributeID="surname">
>                  <PermitValueRule xsi:type="ANY"/>
>          </AttributeRule>
>          <AttributeRule attributeID="mail">
>                  <PermitValueRule xsi:type="ANY" />
>          </AttributeRule>
>          <AttributeRule attributeID="edupersonTargetedID">
>                  <PermitValueRule xsi:type="ANY"/>
>          </AttributeRule>
>          <AttributeRule attributeID="tcsPersonalEntitlement">
>                  <PermitValueRule xsi:type="ANY" />
>          </AttributeRule>
>          <AttributeRule attributeID="eduPersonPrincipalName">
>                  <PermitValueRule xsi:type="ANY"/>
>          </AttributeRule>
>          <AttributeRule attributeID="schacHomeOrganization">
>                  <PermitValueRule xsi:type="ANY"/>
>          </AttributeRule>
>          <AttributeRule attributeID="eduPersonPrimaryAffiliation">
>                  <PermitValueRule xsi:type="ANY"/>
>          </AttributeRule>
> </AttributeFilterPolicy>
>
> I attribute-resolver:
>
>   <AttributeDefinition xsi:type="SAML2NameID"
> xmlns="urn:mace:shibboleth:2.0:resolver" id="edupersonTargetedID"
> nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
>          <InputDataConnector ref="StoredId"
attributeNames="persistentId"/>
>          <AttributeEncoder xsi:type="SAML1XMLObject"
> name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" />
>          <AttributeEncoder xsi:type="SAML2XMLObject"
> name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10"
> friendlyName="edupersonTargetedID" />
>          </AttributeDefinition>
>
> När jag loggar in så skickas attributet edupersonTargetedID enligt
> bilaga, men det ser ut som Harica vägrar att ta emot detta då jag får
> felmeddelande:
> Cannot create your account
> Your Identity Provider (IdP) does not provide HARICA with the
> appropriate info (attributes) for your account.
> Please contact your IdP, to fix this issue.
>
> Testade även med https://cm.harica.gr/loginsaml/test.php och då får jag
> att dessa attibut kommer fram (trots att attributen skickas enligt
> bilaga alltså):
> eduPersonPrincipalName: matsl(a)irf.se
> schacHomeOrganization: irf.se
> sn: Luspa
> eduPersonEntitlement: urn:mace:terena.org:tcs:personal-user
> eduPersonPrimaryAffiliation: The Swedish Institute of Space Physics
> givenName: Mats
> mail: mats.luspa(a)irf.se
> groups: realm-irf.se, users, members
>
> Är det någon i denna lista som fått SSO login till Harica att fungera
> med idp shibboleth (ver. 5.1.4)?
>
> /MVH Mats
>
> --
> --
> Mats Luspa
> Phone: +46 (0)980 79 022
> Cellular phone: +46 (0)725813330
> Institutet för rymdfysik               Fax: +46 (0)980 79 050
> Swedish Institute of Space Physics      email: matsl(a)irf.se
> Visiting/Delivery address: Bengt Hultqvists väg 1, SE-981 92 Kiruna
> Postal address: Box 812, SE-981 28 Kiruna
> --
> PGP Public Key: https://www.irf.se/pgp/matsl
> Digital vcard: https://www.irf.se/vcard/mats.luspa
>
> _______________________________________________
> Saml-admins mailing list -- saml-admins(a)lists.sunet.se
> To unsubscribe send an email to saml-admins-leave(a)lists.sunet.se

2025

2024

2023

2022

2021

[Saml-admins] Re: SSO Login Harica (Shibboleth)