FCA – Paramètres de configuration de base de l’IdP de Shibboleth

Configuration de l’IdP de Shibboleth pour qu’il récupère et valide les métadonnées

Si vous utilisez IdPInstaller, l’opération est automatique et vous pouvez passer à la section suivante.

Lecture recommandée et référence faisant autorité sur la configuration des métadonnées du service IdP : https://wiki.shibboleth.net/confluence/display/IDP30/MetadataConfiguration

Ajout des agrégats de production FIM au service IdP de Shibboleth

Pour ajouter les agrégats de production FIM et signaler que le service IdP les accepte après installation, modifiez le fichier ${idp.home}/conf/metadata-providers.xml en ajoutant les deux blocs MetadataProvider qui suivent, le premier pour l’agrégat de production canadien et le second pour l’agrégat de production inter- fédération :

<MetadataProvider id="URLMD" xsi_type="FileBackedHTTPMetadataProvider" 

metadataURL="https://caf-shib2ops.ca/CoreServices/caf_metadata_signed_sha256.xml"

backingFile="/opt/shibboleth-idp/metadata/caf_metadata_signed.xml"

maxRefreshDelay="PT1H">

<MetadataFilter xsi_type="SignatureValidation"  requireSignedRoot="true"

certificateFile="/opt/shibboleth-idp/credentials/md-signer.crt"/>

</MetadataProvider>

 

<MetadataProvider id="URLMDCAFEdugain" xsi_type="FileBackedHTTPMetadataProvider" 

metadataURL="https://caf-shib2ops.ca/CoreServices/caf_interfed_signed.xml"

backingFile="/opt/shibboleth-idp/metadata/caf_interfed_signed.xml"

maxRefreshDelay="PT1H">

<MetadataFilter xsi_type="SignatureValidation"  requireSignedRoot="true"

certificateFile="/opt/shibboleth-idp/credentials/md-signer.crt"/>

</MetadataProvider>

Ajout de l’agrégat d’essai FIM au service IdP de Shibboleth

Pour indiquer que le service IdP accepte l’agrégat d’essai FIM après installation, modifiez le fichier ${idp.home}/conf/metadata-providers.xml en y ajoutant le bloc MetadataProvider que voici :

<MetadataProvider id="URLMDCAFTestbed" xsi_type="FileBackedHTTPMetadataProvider" 

metadataURL="https://caf-shib2ops.ca/CoreServices/testbed/caf_test_fed_unsigned.xml"

backingFile="/opt/shibboleth-idp/metadata/caf_test_fed_unsigned.xml"

maxRefreshDelay="PT1H">

</MetadataProvider>

Remarquez que, dans ce cas, il n’y a pas vérification de la signature.