1. Vervanging A-Select
Informatiebijeenkomst ICT
10 november 2011
Patrick Honing
2. Waarom vervangen
Support SURFnet vervallen per 1/1/2011
Geen support voor Ms-Windows 64-bit
Zelf aanpassingen gemaakt voor IIS7
A-select is open-source gemaakt, maar
niemand pakt het op
Aansluiting SURFfederatie moet
gemigreerd worden (toekomstig vervalt
support A-Select protocol)
3. Uitganspunten vervanging
Open standaards
(open protocol → SAML2.0)
Migratietraject → intact laten
Single Sign On
Behoud functionaliteit
(o.a. SMS-authenticatie)
4. Onderdelen A-Select (1/2)
A-Select servers (3x)
– Identity Provider (IdP)
– A-Select server / AuthSP server
– LDAP AuthSP
– SMS AuthSP
– Gegevens uit:
LDAP
IMAO via een PHP-webservice
5. Onderdelen A-Select (2/2)
A-Select Agent/Filter (± 50)
– Service Provider (SP)
– Agent generiek (java)
– Filter per systeem (Apache/IIS/Roxen)
– Doorgeven aan applicatie gegevens
(attributes) via cookies
(aselectuid/aselectattributes)
7. SimpleSAMLphp
Ontwikkeling geleid door UNINETT
(NREN Noorwegen)
Gericht op SAML2.0
Geschreven in PHP, veel API’s
beschikbaar
– Attributen ophalen uit IMAO te integreren
– Vrij gemakkelijk SMS-authenticatie te
realiseren
A-Select authenticatie mogelijk voor
migratie
9. Shibboleth (1/2)
Ontwikkeld door Internet2 (groot
consortium in de US)
Moeder aller SAML2-implementaties
Shibboleth Native Service Provider voor:
– Ms-Windows (32 & 64 bit)
– Linux
– OS-X
– Solaris
– Java
10. Shibboleth (2/2)
Bestaat uit daemon + filter
Integratie op webserverniveau
Doorgeven attributen anders dan bij
A-select (i.p.v. cookies worden ofwel
“HTTP-Request headers” ofwel “Server
environment variables” gebruikt)
14. Stand van zaken
SimpleSAMLphp productieomgeving
ingericht (ook dev/test)
SURFfederatie over naar SAML2
Meeste Linux/Apache SP’s over
Wachten op aanpassing IMAGine t.b.v.
HANSIS/SAS/IMAO
Nieuwe dienst HANTOS direct via SSP
Roxen Sweden ontwikkeld integratie
SAML2.0
