Page tree
Skip to end of metadata
Go to start of metadata

Os metados da Federação Clarin estão disponível no seguinte url:

https://rctsaai-rr.fccn.pt/rr/signedmetadata/federation/CLARIN/metadata.xml

Metadata Assinada

O ficheiro de metadados da federação encontra-se assinado digitalmente. Para obter o certificado metadatasigner.pem, referenciado nas configurações abaixo, deve realizar o pedido via email à equipa RCTSaai (rctsaai@fccn.pt).

Antes de realizar o pedido do certificado, devem validar se o mesmo não está já no IDP, na pasta /opt/shibbolethidp/credentials/.

Configurar Metadados - Shibboleth v2.X

 Fornecedor de Identidade

 

Descarregar Certificado

O certificado metadatasigner.pem utilizado para validar a metadata da federação deve ser colocado na seguinte localização:

/opt/shibboleth-idp/credentials/

Devem validar antes se o mesmo não está já presente no IDP, na pasta referida.

relying-party.xml
1. Adicionar novo bloco com o novo link e referencia ao url:

  <metadata:MetadataProvider id="CLARINMD" xsi:type="metadata:FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
                        metadataURL="https://rctsaai-rr.fccn.pt/rr/signedmetadata/federation/CLARIN/metadata.xml"
                        backingFile="/opt/shibboleth-idp/metadata/clarin_metadata.xml"
                        minRefreshDelay="PT5M"
                        maxRefreshDelay="PT1H"
                        refreshDelayFactor="0.75" >


                        <metadata:MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata" trustEngineRef="shibboleth.RR-RCTSaaiMetadataTrustEngine" requireSignedMetadata="true" />


        </metadata:MetadataProvider>



2. Adicionar após o bloco </security:Credential> a referencia ao certificado metadatasigner.pem

 <security:TrustEngine id="shibboleth.RR-RCTSaaiMetadataTrustEngine" xsi:type="security:StaticExplicitKeySignature">
         <security:Credential  id="RCTSaaiFederationCredentials" xsi:type="security:X509Filesystem">
		 	<security:Certificate>/opt/shibboleth-idp/credentials/metadatasigner.pem</security:Certificate>
		 </security:Credential>
</security:TrustEngine>

Configurar Metadados - Shibboleth v3.X

 Fornecedor de Identidade

 

Descarregar Certificado

O certificado metadatasigner.pem utilizado para validar a metadata da federação deve ser colocado na seguinte localização:

/opt/shibboleth-idp/credentials/

Devem validar antes se o mesmo não está já presente no IDP, na pasta referida.

Criar o ficheiro metadata-provider-clarin.xml, com o seguinte conteúdo, e colocá-lo na pasta /opt/shibboleth-idp/conf/

metadata-provider-clarin.xml
<?xml version="1.0" encoding="UTF-8"?>
<MetadataProvider id="CLARINMD" xsi:type="FileBackedHTTPMetadataProvider"
    xmlns="urn:mace:shibboleth:2.0:metadata"
    xmlns:resource="urn:mace:shibboleth:2.0:resource"
    xmlns:security="urn:mace:shibboleth:2.0:security"
    xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        backingFile="%{idp.home}/metadata/metadata.clarin.xml"
    metadataURL="https://rctsaai-rr.fccn.pt/rr/signedmetadata/federation/CLARIN/metadata.xml"
        requireValidMetadata="true"
    maxRefreshDelay="PT1H"
    xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd
                        urn:mace:shibboleth:2.0:resource http://shibboleth.net/schema/idp/shibboleth-resource.xsd
                        urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd
                        urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd">
        <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/metadatasigner.pem" />
        <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P7D"/>
        <MetadataFilter xsi:type="EntityRoleWhiteList">
            <RetainedRole>md:SPSSODescriptor</RetainedRole>
        </MetadataFilter>
</MetadataProvider>

No ficheiro services.xml adicionar a referência ao novo ficheiro de metadata na zona "shibboleth.MetadataResolverResources". Esta zona deverá ficar com o seguinte conteúdo

services.xml
<util:list id="shibboleth.MetadataResolverResources">
    <value>%{idp.home}/conf/metadata-providers.xml</value>
 
    <value>#{ '%{idp.metadata}' matches '.*\brctsaai\b.*' ?
        '%{idp.home}/conf/metadata-provider-rctsaai.xml' : '' }</value>


    <value>#{ '%{idp.metadata}' matches '.*\baaitest\b.*' ?
        '%{idp.home}/conf/metadata-provider-aaitest.xml' : '' }</value>
 
    <value>#{ '%{idp.metadata}' matches '.*\binterfederation\b.*' ?
        '%{idp.home}/conf/metadata-provider-interfederation.xml' : '' }</value>


    <value>#{ '%{idp.metadata}' matches '.*\bclarin\b.*' ?
        '%{idp.home}/conf/metadata-provider-clarin.xml' : '' }</value>

    <value>%{idp.home}/system/conf/metadata-providers-system.xml</value>

</util:list>

Por fim deve ser feita a chamada da nova metadata. Isto é feito no ficheiro idp.properties, na variável idp.metadata, adicionando o novo padrão de carregamento.

idp.properties
idp.metadata = rctsaai,interfederation,clarin

Configurar Metadados - SimpleSAMLphp

 Fornecedor de Identidade e Seviço

 

Descarregar Certificado

O certificado metadatasigner.pem utilizado para validar a metadata da federação deve ser colocado na seguinte localização:

/var/simplesaml/cert/

Devem validar antes se o mesmo não está já presente no IDP, na pasta referida.

config-metarefresh.php
 <?php
   $config = array(
        'sets' => array(
					... Array da metadata RCTSaai ...
				 ),
				array(
					... Array da metadata edugain ...
				 ),
				array(
                'clarin' => array(
                        'cron' => array('hourly'),
                        'sources' => array(
                                array( 'src' => 'https://rctsaai-rr.fccn.pt/rr/signedmetadata/federation/CLARIN/metadata.xml',
                                       'certFingerprint' => '0b3b547d116b92d5f3008a3b4058e7a762f21d9d',
                                        'certificate'               => 'metadatasigner.pem', ),
                                        ),
                                        'maxCache' => 60*60*24*4, // Maximum 4 days cache time.
                                        'maxDuration' => 60*60*24*10, // Maximum 10 days duration on ValidUntil.
                                        'outputDir' => 'metadata/clarin/',
                                        'outputFormat' => 'flatfile',
			),
        )
);

 

 

  • No labels