elms shibboleth user verification customer implementation guide pt-br

Guia de Implementação de Verificação para o Cliente de

Verificação Shibboleth de Usuário 2013-11-19

Confidencial Versão 3,1

Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 |

1

SUMÁRIO

Introdução ............................................................................................................................................... 1

Finalidade e público-alvo ............................................................................................................... 1

Termos mais utilizados ................................................................................................................... 1

Visão global da verificação shibboleth de usuário .................................................................................... 3

O que é verificação de usuário? ..................................................................................................... 3

O que é Shibboleth? ...................................................................................................................... 3

Federações do Shibboleth ............................................................................................................. 4

Como funciona o Shibboleth .......................................................................................................... 5

Diagrama de experiência do cliente ..................................................................................... 6

Resumo da Implementação do Shibboleth ..................................................................................... 6

Configure seu IdP .................................................................................................................................... 7

Metadados e IDs de entidade da Kivuto ......................................................................................... 7

Atributos ........................................................................................................................................ 7

Configurando o Shibboleth em sua webstore do ELMS .......................................................................... 12

Configurando o Shibboleth como Tipo de Verificação da webstore ............................................... 12

Configurando a verificação do Shibboleth .................................................................................... 13

Guia Detalhes .................................................................................................................... 13

Guia Configurações ........................................................................................................... 13

Guia Diagnósticos .............................................................................................................. 15

Como testar a integração....................................................................................................................... 16

Como testar o fluxo de trabalho ................................................................................................... 16

Validação ..................................................................................................................................... 16

Solução de problemas ................................................................................................................. 17

Cenários de implementação do Shibboleth ............................................................................................ 20

Cenário 1: Webstore organizacional do ELMS para um único membro de federação ................... 20

Cenário 2: WebStore departamental do ELMS para um ÚNICO membro de federação ................ 21

Cenário 3: WebStore do ELMS integrada para um ÚNICO membro de federação ........................ 22

Cenário 4: WebStore do ELMS para TODOS os membros de uma federação .............................. 22

Suporte ................................................................................................................................................. 24

Verificação Shibboleth de Usuário: Guia de implementação do cliente | 2013-11-19 | 1

Introdução

Esta seção aborda as seguintes áreas:

Finalidade e público-alvo

Termos mais utilizados

FINALIDADE E PÚBLICO-ALVO

Este documento oferece a você instruções detalhadas para o estabelecimento de um mecanismo de

logon único entre um provedor de identidade Shibboleth existente de um cliente da Kivuto e um

WebStore do ELMS da Kivuto.

Este documento destina-se principalmente aos Administradores do ELMS e equipe técnica que

gerenciam serviços de identidade para sua organização.

Leia este documento juntamente com a ajuda on-line, disponível no site e5 Administration.

TERMOS MAIS UTILIZADOS

Termo Definição/descrição

ELMS / e5 Sistema Eletrônico de Gerenciamento de Licenças

Cliente Uma organização usando o Shibboleth para autenticar os compradores a fim de usar

uma WebStore do ELMS. No site de Administração do ELMS, um cliente é definido

como uma Organização.

Comprador Usuário que está sendo conectado à WebStore do ELMS.

WebStore Um site de comércio eletrônico do ELMS da Kivuto que fornece produtos para a

venda em nome do cliente.

Webstore Organizacional Uma Webstore associada a um contrato de distribuição de software que abrange toda

a organização (por exemplo, DreamSpark Standard). Todos os membros da

organização serão elegíveis para a solicitação de softwares através de Webstores

desse tipo.


Termo Definição/descrição

Webstore Departamental Uma Webstore associada a um contrato de distribuição de software departamental

(por exemplo, DreamSpark Premium). Somente os membros de um departamento de

uma organização são elegíveis para o pedido de softwares através de Webstores

desse tipo.

Webstore Integrada Uma Webstore ELMS associada a diversos contratos de distribuição de software, do

tipo que abrange toda a organização e do tipo departamental. Todos os membros de

uma organização podem fazer logon em Webstores desse tipo e serão elegíveis para

o pedido de softwares oferecidos por contratos que abrangem toda a organização. Os

membros elegíveis dos departamentos terão acesso aos softwares oferecidos por

meio dos contratos departamentais.

ELMS Administration Módulo de administração segura no ELMS que contém funções para gerenciar uma

webstore e configurar uma verificação do usuário. Esse módulo pode ser acessado

apenas por usuários autorizados.

Shibboleth De http://shibboleth.net: “O sistema Shibboleth System é um pacote de software de código-fonte aberto e

baseado em padrões para logon único na Web dentro ou fora dos limites da

organização. Ele permite que os sites tomem decisões de autorização conscientes em

relação ao acesso individual a recursos on-line protegidos de modo a manter a

privacidade.”

IdP “Provedor de Identidade”. O software usado por uma organização com usuários que

desejam acessar um serviço restrito.

SP “Provedor de Serviços”. O software executado pelo provedor que gerencia o serviço

restrito (por exemplo, Kivuto).

ID de entidade Nome exclusivo de um IdP ou um SP em uma implementação do Shibboleth.

O valor do ID de entidade da Kivuto é: https://e5.onthehub.com.

Metadados Dados de configuração usados por IdPs e SPs para realizar a comunicação entre

eles.

Atributos Declarações feitas por um IdP sobre uma pessoa, como um endereço de e-mail ou

um identificador exclusivo.

Código Externo da

Organização

Código fornecido por uma organização ou sua organização mãe para identificá-la

durante as comunicações com um serviço de verificação de de Logon Único, como o

Shibboleth. Para webstores departamentais, um atributo correspondente a esse

código deve ser passado para limitar o acesso a membros do departamento elegível.

WAYF Where Are You From – serviços de descoberta

http://shibboleth.net/


Visão global da verificação shibboleth de usuário


O que é verificação de usuário?

O que é Shibboleth?

Como funciona o Shibboleth

o Diagrama de experiência do cliente

Resumo da Implementação do Shibboleth

O QUE É VERIFICAÇÃO DE USUÁRIO?

A verificação de usuário é o método pelo qual a elegibilidade de um usuário da webstore para realizar o

pedido de softwares é autenticada.

Somente usuários autenticados podem adquirir software na sua WebStore. O administrador do ELMS

deve definir como seus usuários são autenticados. Isso é conhecido como métodos de verificação.

Diversos métodos de verificação podem ser usados para autenticar usuários, incluindo domínio do e-

mail, importação do usuário, Integrated User Verification (IUV) e Shibboleth (de um Programa de

Identidade Federada).

O QUE É SHIBBOLETH?

O Shibboleth é um método de verificação de logon único (SSO) que atingiu ampla adoção em todo o

mundo. Os motivos para isso variam desde suas origens de fonte aberta ao seu modelo de proteção de

privacidade, que oferece aos indivíduos e às organizações grande controle sobre quais informações

pessoais são disponibilizadas a terceiros.

O Shibboleth é normalmente usado por uma federação ou grupo de organizações. Por exemplo, o

InCommon é uma federação de organizações nos Estados Unidos. O Canadian Access Federation é um

grupo que oferece os serviços Shibboleth a instituições de ensino do Canadá.

Para quem precisar de informações básicas sobre o Shibboleth, consulte o site do projeto em

http://shibboleth.net.

Demonstrações passo a passo do processo de logon estão disponíveis em

http://www.switch.ch/aai/demo/easy.html.

http://shibboleth.net/

http://www.switch.ch/aai/demo/easy.html


FEDERAÇÕES DO SHIBBOLETH

Os clientes que utilizam o Shibboleth com ELMS devem ser membros de uma federação que a Kivuto

seja uma SP. Consulte Tabela1 para obter uma lista das federações suportadas pela Kivuto.

Tabela1: Lista de federações

Federação País

SWITCH Suíça

InCommon Estados Unidos

Canadian Access Federation (CAF) Canadá

UK Federation Reino Unido

WAYFDK Dinamarca

SWAMID Suécia

Haka Finlândia

Belnet Bélgica

Edugate Irlanda

DFN Alemanha

eduGAIN Europa

IDEM Itália

RENATER França

ACO Áustria

GRNET Grécia


COMO FUNCIONA O SHIBBOLETH

Estas são as etapas comuns de logon do Shibboleth em uma webstore do ELMS:

O comprador chega à WebStore da ELMS: Quando o comprador clica no link para fazer logon ou

executa uma ação que exige autenticação (por exemplo, adicionando um item a um carrinho de

compras), o software de SP do Shibboleth integrado à webstore do ELMS redireciona o comprador à

página de entrada do IdP do Shibboleth ou a um serviço de descoberta remota (WAYF) se for

necessário.

O comprador escolhe a organização de origem: Normalmente, esta etapa não é necessária, mas está

disponível para casos nos quais mais de um membro de uma federação acessa a mesma WebStore da

ELMS. O serviço de descoberta apresenta uma lista de organizações na qual o comprador escolhe sua

organização de origem e, em seguida, redireciona o comprador ao site do cliente.

O site do cliente autentica o comprador: O site do cliente solicita ao comprador suas credenciais e

autentica o usuário. Essa autenticação é coordenada pelo software do IdP Shibboleth do cliente. O IdP

cria um conjunto mínimo de atributos para o comprador exigido pela Kivuto. Em seguida, o site

redireciona o comprador de volta à WebStore do ELMS.

A WebStore do ELMS autentica o comprador: Os atributos lançados pelo IdP do cliente são usados

para criar um conjunto de credenciais na WebStore do ELMS (conta de usuário). Essa ação conclui o

processo de verificação e a página original solicitada pelo comprador é exibida.


DIAGRAMA DE EXPERIÊNCIA DO CLIENTE

RESUMO DA IMPLEMENTAÇÃO DO SHIBBOLETH

+

+ TESTE SUA

INTEGRAÇÃO

Configure seu IdP

Libere atributos para os IDs de entidade

da Kivuto

Configure o ELMS para se

comunicar com seu IdP

Descobert

a (WAYF)

IdP do cliente ELMS

O comprador

clica no link

Registrar

O comprador

insere o nome

de usuário e a

senha

O comprador

escolhe a

organização de

origem

O ELMS

processa os

atributos do

comprador

O comprador

inicia as

compras!


Configure seu IdP


Metadados e IDs de entidade da Kivuto

Atributos

METADADOS E IDS DE ENTIDADE DA KIVUTO

Caso a sua organização seja um IdP em uma federação que tenha aceitado a Kivuto como um SP, esses

serão encontrados nos metadados publicados pela federação.

O ID de entidade usada pela Kivuto é: https://e5.onthehub.com

ATRIBUTOS

O conjunto mínimo de declarações de identidade exigido pela Kivuto é:

um identificador exclusivo de um comprador

o Isso permite que o comprador seja identificado em vários logons.

uma lista de afiliações de grupos

o Concede ao comprador acesso aos produtos restritos a membros de grupos específicos

de usuário. Por exemplo, um produto pode estar disponível apenas ao corpo docente e

aos funcionários.

Declarações adicionais de identidade podem ser feitas (passadas durante a integração) para

personalizar ainda mais a WebStore do ELMS para seus usuários.

Para obter uma lista de atributos, consulte a Tabela 2: Atributos, abaixo.

Observação: Quais atributos devem ser transferidos depende do cenário de implementação. Consulte Cenários de implementação do Shibboleth para determinar quais atributos são necessários para a

sua implementação.


Tabela2: Atributos

Atributo Descrição

eduPersonTargetedID urn:mace:dir:attribute-def:eduPersonTargetedID:

urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Identificador exclusivo de um usuário. Se estiver opaco,

convém usar a configuração “Ocultar nome de usuário”

(consulte a Tabela 3: Configurações).

persistent ID (SAML 2.0) urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

Identificador exclusivo de um usuário.

uid urn:mace:dir:attribute-def:uid urn:oid:0.9.2342.19200300.100.1.1

Identificador exclusivo de um usuário.

SwissEP_UniqueID urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID urn:oid:2.16.756.1.2.5.1.1.1

Identificador exclusivo de um usuário (SWITCHaai).

eduPersonPrincipalName urn:mace:dir:attribute-def:eduPersonPrincipalName urn:oid:1.3.6.1.4.1.5923.1.1.1.6

Identificador exclusivo de um usuário. Pode ser usado em

combinação com outros IDs exclusivos. Neste caso,

eduPersonPrincipalName será o nome de usuário e o outro

ID será capturado como o identificador de membro em uma

verificação de usuário.

eduPersonScopedAffiliation urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9

Concede qualificação a um usuário através da associação

do grupo de usuários. Os mapas de valor de atributo para o

grupo de usuários são:

Importante: Este atributo e os valores padrão disponíveis destinam-se serem passados a organizações acadêmicas. Organizações corporativas podem precisar transferir diferentes parâmetros para indicar a eligibilidade de seus usuários. Consulte seu gerente de conta para ver mais detalhes.

Aluno -> Alunos Corpo Docente -> Corpo Docente Funcionários -> Funcionários

Funcionários-> Corpo Docente/Funcionários

Membro -> Alunos/Corpo Docente/Funcionários

eduPersonAffiliation urn:mace:dir:attribute-def:eduPersonAffiliation

urn:oid:1.3.6.1.4.1.5923.1.1.1.1

Concede qualificação a um usuário. O mesmo

mapeamento do atributo do escopo.

eduPersonPrimaryAffiliation urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5

Concede qualificação a um usuário. O mesmo

mapeamento do atributo do escopo.



isMemberOf urn:mace:dir:attribute-def:isMemberOf urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Usado para grupo de usuários personalizado ou para

mapeamento da organização. Multivalor, use vírgulas ou

dois pontos como delimitadores. Os valores podem ser

qualificados, por exemplo,

urn:mace:example.edu:groups:groupCode. A última parte

dos valores qualificados é usada ao fazer a

correspondência com os códigos do sistema.

Para grupos de usuários, será feita a correspondência dos

valores com os campos Código de Grupo de Usuários no

site e5 Administration, na seção Usuários » Grupos de

Usuários. Quando correspondido, será concedida ao

usuário a associação ao grupo.

Para as organizações, será feita a correspondência dos

valores com o campo Código Externo da Organização

encontrado no site ELMS Administration após ser fornecido

para a Kivuto para a organização da webstore ou em

qualquer uma de suas organizações afiliadas. Quando

houver uma correspondência, será criada uma verificação

de usuário, vinculando-o à organização que tenha grupos

de usuários correspondentes. Isso pode ser usado, por

exemplo, para especificar que um usuário é membro de um

departamento específico.

Observação: As organizações com webstores

departamentais devem transferir um atributo usado para

mapeamento da organização que corresponda ao seu

Código Externo da Organização.



eduPersonEntitlement urn:mace:dir:attribute-def:eduPersonEntitlement SAML2: urn:oid:1.3.6.1.4.1.5923.1.1.1.7

Usado para grupo de usuários personalizado ou para

mapeamento da organização. Consulte isMemberOf para

obter detalhes sobre como os valores são mapeados. Os

valores são URIs, URNs ou URLs.

Quaisquer URNs pode ser usados (por exemplo,

urn:mace:school.edu:exampleResource)Tanto o valor

integral de URN (urn:mace:school.edu:exampleResource)

e a parte da cadeia de caracteres específica ao

namespace (exampleResource) serão comparadas aos

mapeamentos de grupo e organização.

Somente as URLs do formulário

http://[SP]/eligibility/[IdP]/[code] podem ser usadas. Elas

não são passíveis de resolução. A parte de valor ([code])

será comparada aos mapeamentos de grupo e

organização.





ou urn:mace:dir:attribute-def:ou urn:oid:2.5.4.11

Usado para mapeamento da organização. Espera-se o uso

de vírgulas ou dois pontos com diversos valores como

delimitadores.

Será feita a correspondência dos valores com o campo

Código Externo da Organização (que pode ser encontrado

na página da organização do site ELMS Administration

após ser fornecido para a Kivuto). Quando houver uma

correspondência, será criada uma verificação de usuário,

vinculando-o à organização que tenha grupos de usuários

correspondentes. Isso pode ser usado, por exemplo, para

especificar que um usuário é membro de um departamento

específico.







eduPersonOrgUnitDN urn:mace:dir:attribute-def:eduPersonOrgUnitDN urn:oid:1.3.6.1.4.1.5923.1.1.1.4

Usado para mapeamento da organização. Os nomes

distintos das entradas do diretório que representam a

unidade organizacional do usuário. Espera-se caracteres

de barra vertical (“|”) com diversos valores como

delimitadores.

Os valores são esperados no formulário DN, por exemplo,

“ou=Potions, o=Hogwarts, dc=hsww, dc=wiz”. No exemplo,

Potions seria o valor analisado e seria correspondido com

os campos Código Externo da Organização (consulte ou).





Surname urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4

O sobrenome do usuário.

givenName urn:mace:dir:attribute-def:givenName urn:oid:2.5.4.42

O nome do usuário.

mail urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3

O endereço de e-mail do usuário.

homeOrganization urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization urn:oid:2.16.756.1.2.5.1.1.4

A organização à qual o usuário pertence (SWITCHaai).

homeOrganizationType urn:mace:switch.ch:attribute-

def:swissEduPersonHomeOrganizationType urn:oid:2.16.756.1.2.5.1.1.5

O tipo de organização à qual o usuário pertence. Um valor

de “universidade” ou “uas” é exigido para que o usuário

receba qualificação acadêmica (SWITCHaai).


Configurando o Shibboleth em sua webstore do ELMS


Configurando o Shibboleth como Tipo de Verificação da webstore

Configurando a verificação do Shibboleth

o Detalhes

o Configurações

o Diagnósticos

Importante: Todas as tarefas descritas nesta seção devem ser executadas por um administrador registrado e ativo do ELMS conectado ao site ELMS Administration (https://e5.onthehub.com/admin). Será necessário um número de conta da organização e um nome de usuário e senha válidos para entrar no site.

CONFIGURANDO O SHIBBOLETH COMO TIPO DE VERIFICAÇÃO DA

WEBSTORE

Antes de configurar o Shibboleth para funcionar em conjunto com a webstore do ELMS, é necessário

definir o Shibboleth como um tipo de verificação.

Para configurar o Shibboleth como o tipo de verificaçãoe:

1. No site do e5 Administration, clique em: Webstore.

2. Clique na aba Verificação. A lista dos tipos de verificação configurados no momento é exibida.

Por padrão, “Importações de Usuários” ou um tipo de verificação diferente pode ter sido

configurado para sua WebStore quando ela foi implementada.

3. Clique na caixa de seleção ao lado de qualquer tipo de verificação que não o Shibboleth e, em

seguida, clique no botão Excluir (ou clique no link Desativar na coluna Ações ao lado de

qualquer tipo de verificação que não seja o Shibboleth).

4. Clique no botão Adicionar. Uma nova janela é aberta.

5. Clique na caixa de seleção ao lado de Shibboleth.

6. Clique no botão OK para salvar a seleção.

https://e5.onthehub.com/admin


CONFIGURANDO A VERIFICAÇÃO DO SHIBBOLETH

Depois que a Shibboleth tiver sido definida como um tipo de verificação para a sua organização, será

necessário configurá-la.

Para configurar o Shibboleth:

1. No menu principal, clique em WebStore.

2. Clique na aba Verificação.

3. Clique no link Shibboleth. Uma nova janela abre com duas guias: Detalhes e Configurações.

GUIA DETALHES

Geralmente, não é necessário ou aconselhável alterar os valores padrão dos campos dessa guia.

Tenha cuidado se desejar alterar os valores padrão de “Setor” e de “Verificações Expiram em”. A

alteração desses valores pode corromper a implementação fazendo com que seus usuários finais não

possam entrar na webstore do ELMS.

GUIA CONFIGURAÇÕES

A página Configurações define todas as informações de cliente (organização) exigidas pela Kivuto.

Consulte a Tabela 3: Configurações.

Observação: As configurações necessárias dependem do cenário de implementação. Consulte Cenários de implementação do Shibboleth para determinar quais configurações são necessárias

para a sua implementação.

Tabela3: Configurações

Informações Descrição

Terceiro confiável Lista das federações das quais a Kivuto é membro (por exemplo,

InCommon, SWITCHaai).



ID de entidade do Provedor

de Identidade

Serviços de descoberta da federação (WAYF) podem ser ignorados

fornecendo-se um valor a esta configuração. Se a WebStore for específica

de um IdP, este valor deverá ser considerado como necessário.

O valor deve ser exatamente igual ao encontrado nos metadados. Por

exemplo:

“urn:mace:incommon:myorg.edu” ou “https://shibboleth.myorg.edu”

Endereço de e-mail do

Administrador IUV

Endereço de email do indivíduo (ou lista de distribuição) que receberá

mensagens de erro do ELMS.

Ocultar nome de usuário Quando selecionada, esta configuração impede que o identificador

exclusivo de um usuário seja exibido em vários lugares na interface do

usuário da WebStore.

Isto será útil quando um nome de usuário formatado para a tela não for

fornecido (ex., uma GUID) como parte do conjunto de atributos liberados

do IdP.

URL de redirecionamento de

logoff

A URL para o qual um usuário será redirecionado ao saírem do SP do

Shibboleth e da webstore.

Se for deixado vazio, o usuário permanecerá na WebStore ao fazer logoff

e será exibida uma mensagem semelhante à seguinte:

“Você entrou neste site, mas continua conectado ao seu sistema de logon

único. Se desejar fazer logoff completamente, será NECESSÁRIO fechar

o seu navegador.”

Habilitar modo de

diagnósticos

Quando habilitado, os dados do estado do servidor são capturados para

toda tentativa de logon, e a mais recente pode ser visualizada na guia

Diagnósticos. Consulte a seção Solução de problemas em Como testar

sua integração.



Escopo de qualificação

restrito

Se selecionado, os atributos de qualificação (ex.,

eduPersonScopedAffiliation) serão processados somente para usuários

com atributos de acompanhamento contendo informações de

mapeamento da organização (ou, eduPersonOrgUnitDN, isMemberOf,

eduPersonEntitlement).

Se estiver desmarcado, os atributos de qualificação serão processados

para todos os usuários. Se os atributos de mapeamento da organização

de acompanhamento estiverem presentes, os usuários receberão a

associação nas organizações correspondentes. Caso contrário, os

usuários receberão a associação na organização da WebStore.

Esses dados podem ser vistos, após o logon, examinando-se os

registros de verificação do usuário correspondente (Usuários »

[selecionar usuário] »Verificações).

Observação: Esta opção deve ser selecionada se você estiver

configurando o Shibboleth para uma webstore puramente departamental

de modo que somente os membros do departamento apropriado receba

qualificação. Esta é a única ocasião que essa opção deve ser

selecionada.

GUIA DIAGNÓSTICOS

A página Diagnósticos exibe dados capturados durante as tentativas de logon recentes. Nada será

exibido a menos que o Modo Diagnóstico seja habilitado por meio da página Configurações (consulte

Tabela 3: Configurações).

Para obter detalhes sobre o que é exibido, consulte a seção Solução de problemas em Como testar sua

integração.


Como testar a integração

Quando sua integração estiver concluída, será necessário testá-la.


Como testar o fluxo de trabalho

Validação

Solução de problemas

COMO TESTAR O FLUXO DE TRABALHO

As etapas comuns necessárias para testar sua implementação.

1. Configure seu IdP.

2. Configure sua WebStore do ELMS.

3. Acione o processo de autenticação de sua WebStore do ELMS. Caso já tenha se conectado ao

site de administração, você deverá se desconectar ou usar outro navegador. Se o tipo de

verificação do Shibboleth estiver no status Teste, será preciso usar o URL de teste disponível em

Webstore » Verificação, que permite métodos de verificação de teste ao acessar sua webstore.

4. Faça a autenticação com seu IdP e certifique-se de que tenha se conectado com êxito à sua

WebStore do ELMS.

5. Valide os dados criados para o usuário em sua WebStore do ELMS conforme descrito na

próxima seção.

6. Quando tudo estiver funcionando conforme o esperado, entre em contato com a Kivuto para

continuar.

VALIDAÇÃO

Depois de obter êxito na autenticação, é importante verificar o perfil do usuário para garantir que todos

os grupos de qualificação e as informações de personalização tenham sido definidos corretamente.

Na WebStore do ELMS:

1. Clique no link Sua Conta/Pedidos, acima do banner da página.

2. Clique no link Detalhes da conta. Qualquer informação de personalização transmitida será

exibida.


3. Retorne à página Sua Conta/Pedidos e clique no link Sua Qualificação para exibir os grupos

de qualificação aos quais sua conta foi atribuída.

No site de administração do ELMS:

1. No menu principal, clique em Usuários.

2. Busque pelo usuário desejado e clique em Nome de Usuário para navegar até a página de

detalhes. Qualquer informação de personalização transmitida será exibida.

3. Clique na guia Verificações. Para cada autenticação bem-sucedida, haverá uma entrada

contendo a lista esperada de grupos de qualificação.

SOLUÇÃO DE PROBLEMAS

Caso encontre problemas durante a autenticação, ou se as informações de personalização ou

qualificação não tiverem sido criadas conforme o esperado para seus usuários, talvez seja útil habilitar o

Modo Diagnósticos (consulte Tabela3). Os dados capturados durante as tentativas de logon recentes,

bem-sucedidas ou não, serão exibidos na guia Diagnósticos Clicar em uma tentativa de logon individual

mostra a página Detalhes com as seguintes seções:

Usuário

o Nome de usuário, nome e sobrenome, endereço de e-mail. Vazio para tentativas sem

sucesso.

Verificações de Usuário

o Para cada organização, o usuário era mapeado (via ou, isMemberOf etc.), para a

verificação de usuário correspondente, junto com o identificador de membro exclusivo, a

data de expiração da verificação e associações do grupo de usuário. Vazio para

tentativas sem sucesso.

Variáveis de servidor do Shibboleth

o As variáveis do servidor IIS que faziam parte da sessão do Shibboleth ativa durante a

tentativa de logon. Se os atributos esperados não forem exibidos aqui, o servidor do

Shibboleth os terá descartado devido a um mapeamento ou formatação de valor não

suportado. Para uma análise de como as entradas na seção Variáveis de servidor do

Shibboleth são mapeadas para os atributos do Shibboleth, consulte Tabela4: Variáveis

de servidor do Shibboleth.


Outras variáveis de servidor

o Outras variáveis de servidor IIS ativas durante a tentativa de logon. Provavelmente, não

é útil, mas presente no caso de uma variável não ter sido classificada corretamente, e

incluída na seção Shibboleth acima.

Tabela4: Variáveis de servidor do Shibboleth

Nome da variável Nome do(s) atributo(s) HTTP_TARGETEDID eduPersonTargetedID

urn:oid:1.3.6.1.4.1.5923.1.1.1.10

HTTP_PERSISTENTID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

HTTP_AFFILIATION urn:mace:dir:attribute-def:eduPersonAffiliation

urn:oid:1.3.6.1.4.1.5923.1.1.1.1

urn:mace:dir:attribute-def:eduPersonScopedAffiliation

urn:oid:1.3.6.1.4.1.5923.1.1.1.9

urn:mace:dir:attribute-def:eduPersonPrimaryAffiliation

urn:oid:1.3.6.1.4.1.5923.1.1.1.5

HTTP_ISMEMBEROF urn:mace:dir:attribute-def:isMemberOf

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

HTTP_ACADEMICCAREER urn:mace:dir:attribute-def:academicCareer

rn:oid:1.3.6.1.4.1.5524.1.13

HTTP_PRINCIPALNAME urn:mace:dir:attribute-def:eduPersonPrincipalName

urn:oid:1.3.6.1.4.1.5923.1.1.1.6

HTTP_GIVENNAME

urn:mace:dir:attribute-def:givenName

urn:oid:2.5.4.42

HTTP_MAIL

urn:mace:dir:attribute-def:mail

urn:oid:0.9.2342.19200300.100.1.3

HTTP_SURNAME

urn:mace:dir:attribute-def:sn

urn:oid:2.5.4.4

HTTP_UID

urn:mace:dir:attribute-def:uid

urn:oid:0.9.2342.19200300.100.1.1

urn:mace:dir:attribute-def:employeeNumber

urn:oid:2.16.840.1.113730.3.1.3

HTTP_ENTITLEMENT urn:mace:dir:attribute-def:eduPersonEntitlement

urn:oid:1.3.6.1.4.1.5923.1.1.1.7


Nome da variável Nome do(s) atributo(s) HTTP_OU urn:mace:dir:attribute-def:ou

urn:oid:2.5.4.11

HTTP_ORGUNITDN urn:mace:dir:attribute-def:eduPersonOrgUnitDN

urn:oid:1.3.6.1.4.1.5923.1.1.1.4

HTTP_UNIQUEID urn:mace:switch.ch:attribute-def:swissEduPersonUniqueID

urn:oid:2.16.756.1.2.5.1.1.1

HTTP_HOMEORGANIZATION urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganization

urn:oid:2.16.756.1.2.5.1.1.4

HTTP_HOMEORGANIZATIONTYPE urn:mace:switch.ch:attribute-def:swissEduPersonHomeOrganizationType

urn:oid:2.16.756.1.2.5.1.1.5

HTTP_STUDYBRANCH1 urn:mace:switch.ch:attribute-def:swissEduPersonStudyBranch1

urn:oid:2.16.756.1.2.5.1.1.6


urn:oid:2.16.756.1.2.5.1.1.7


urn:oid:2.16.756.1.2.5.1.1.8

HTTP_STUDYLEVEL urn:mace:switch.ch:attribute-def:swissEduPersonStudyLevel

urn:oid:2.16.756.1.2.5.1.1.9


Cenários de implementação do Shibboleth

A natureza da sua organização, webstore e contrato de distribuição de softwares determina quais dos

atributos descritos em Tabela2 são exigidos pela Kivuto e quais das configurações descritas em Tabela3

devem ser configuradas para implementar com sucesso a verificação do Shibboleth.

Esta seção descreve os cenários mais comuns de implementação do Shibboleth e resume as exigências

específicas de cada implementação.

Cenário 1: WebStore organizacional do ELMS para um único membro de federação

Cenário 2: Webstore departamental do ELMS para um único membro de federação

Cenário 3: WebStore do ELMS integrada para um único membro de federação

Cenário 4: WebStore do ELMS para TODOS os membros de uma federação

CENÁRIO 1: WEBSTORE ORGANIZACIONAL DO ELMS PARA UM

ÚNICO MEMBRO DE FEDERAÇÃO

Nesse cenário, uma webstore do ELMS é implementada para um único membro da federação

(organização), sob um contrato que abrange toda a organização (por exemplo, DreamSpark Standard). A

organização é diretamente integrada à federação, sem que os usuários tenham de escolher a

organização através do uso de serviços de detecção (WAYF).

Os requisitos de implementação para o Cenário 1 são os seguintes. Consulte Tabela2 e Tabela3 para

obter uma descrição de cada atributo e configuração relacionados, e para atributos/configurações

adicionais opcionais.

Requisitos de atributo: Requisitos de configuração do ELMS:

Identificador exclusivo de um usuário. Por exemplo:

eduPersonTargetedID

ID persistente

UID

eduPersonPrincipalName

Identificador de qualificação (grupo de usuários) para um usuário. Por exemplo:

eduPersonScopedAffiliation

eduPersonAffiliation

eduPersonPrimaryAffiliation

isMemberOf (para grupos de usuários

Na página de Configurações de Verificação da Webstore e5:

Selecione sua federação da lista suspensa Terceiro Confiável.

Identifique o seu provedor de serviços de detecção no campo ID de Entidade do Provedor de Identidade.

Forneça um Endereço de e-mail do Administrador.


personalizados)

eduPersonEntitlement (para grupos de usuários personalizados)

CENÁRIO 2: WEBSTORE DEPARTAMENTAL DO ELMS PARA UM

ÚNICO MEMBRO DE FEDERAÇÃO

Nesse cenário, uma webstore do ELMS é implementada para um departamento específico de um

membro da federação (organização), sob um contrato departamental (por exemplo, DreamSpark

Premium).

Importante: Um parâmetro correspondente ao Código Externo da Organização do departamento deve ser fornecido neste cenário para que o acesso seja restrito aos membros do departamento elegível.






eduPersonTargetedID

ID persistente

UID






isMemberOf (para grupos de usuários personalizados)


Identificador da organização (departamento) configurado para corresponder aoCódigo Externo da Organização adequado. Por exemplo:

isMemberOf

eduPersonOrgUnitDN

ou





Selecione a opção Escopo de qualificação restrito para restringir a qualificação para os membros do departamento apropriado. (Observação: Esse é o único cenário em que essa opção é selecionada.)


CENÁRIO 3: WEBSTORE DO ELMS INTEGRADA PARA UM ÚNICO

MEMBRO DE FEDERAÇÃO

Nesse cenário, uma webstore do ELMS integrada (ou seja, uma loja on-line que combina contratos

organizacionais e de departamentos, de modo que alguns usuários são elegíveis para acessar todas as

ofertas enquanto outros são elegíveis para acessar apenas algumas ofertas) é implementada para um

único membro da federação (organização).






eduPersonTargetedID

ID persistente

UID








Identificador da organização (departamento) configurado para corresponder aoCódigo Externo da Organização adequado.** Por exemplo:

isMemberOf

eduPersonOrgUnitDN

ou





**Observação: Se um valor correspondente ao Código Externo da Organização de um departamento não for aprovado, o usuário ainda poderá entrar no site, mas terá acesso apenas aos produtos oferecidos por meio de programas

organizacionais.

CENÁRIO 4: WEBSTORE DO ELMS PARA TODOS OS MEMBROS DE

UMA FEDERAÇÃO

Esse cenário envolve uma webstore do ELMS implementada para todos os membros de uma federação.


Durante o processo de logon, a WebStore encaminha o usuário a um site de serviços de descoberta

(WAYF) no qual é escolhida a organização à qual pertencem.






eduPersonTargetedID

ID persistente

UID










Não insira um valor no campoID de Entidade do Provedor de Identidade (em vez disso, serviços de detecção serão usados).



Suporte

Se tiver dificuldades ao configurar o Shibboleth para o ELMS ou necessitar de assistência técnica, envie

um e-mail para [email protected].

Lembre-se de incluir o seguinte em seu e-mail:

Nome do cliente

Nome do contato

E-mail do contato

Telefone do contato

Número da conta do ELMS

Descrição detalhada do problema ou solicitação de informações

mailto:[email protected]

elms shibboleth user verification customer implementation guide pt-br

Documents