ShibbolethSPAppJava

Versión 1 (Emilio Penna, Martes, 5 de Enero de 2016 12:56:34 -0300)

1 1
h1. ShibbolethSP - Integración de una aplicación Java
2 1
3 1
Escenario de la integración:
4 1
5 1
* Apache 2.2.22 (el que viene por defecto con debian7)
6 1
* mod_proxy_ajp (el que viene por defecto con apache)
7 1
* Tomcat 6.0.18 (en otro host, windows 7)
8 1
* Shibboleth SP 2.5.3
9 1
* Aplicación java, con pagina jsp para visualizacion de parametros
10 1
11 1
12 1
Hay dos opciones para la integracion AJP: mod_jk y mod_proxy_ajp
13 1
14 1
En este ejemplo se usa mod_proxy_ajp, es el que viene por defecto con apache en debian.
15 1
16 1
h3. 1. Configuración de shibboleth SP - shibboleth2.xml
17 1
18 1
Se asume que ya se hizo el intercambio de metadata y registro entre SP e IdP.
19 1
20 1
En primer lugar configurar que atributo se utilizara para cargar el REMOTE_USER, en el ejemplo siguiente se utiliza "uid".
21 1
22 1
Propagación de otros atributos: mod_proxy_ajp solo reenvia a tomcat las variables de entorno que empiezen con "AJP_", para lograr esto se puede configurar un prefijo global para los atributos en shibboleth SP. Para esto, hay que agregar attributePrefix="AJP_" en el elemento ApplicationDefaults de shibboleth2.xml. Queda por ejemplo:
23 1
24 1
<pre> <code class="xml">
25 1
<ApplicationDefaults entityID="https://sp1.seciu.edu.uy/shibboleth"
26 1
    REMOTE_USER="uid eppn persistent-id targeted-id" attributePrefix="AJP_">
27 1
</code> </pre>
28 1
29 1
*CONFIGURACION CON MOD JK* Si se usa mod_jk, no lleva attributePrefix="AJP_", y hay que indicarle al conector mod_jk los nombres de variables que se deseen propagar. Para eso utilizar la directiva  *JkEnvVar*. 
30 1
31 1
Ejemplo: agregar en  en /etc/apache2/mods-available/jk.conf:
32 1
33 1
<pre>
34 1
 JkEnvVar mail
35 1
</pre>
36 1
37 1
h3. 2. Configuración de atributos 
38 1
39 1
Adjunto: attribute-map.xml
40 1
41 1
h3. 3. Configuracion de apache - reverse proxy
42 1
43 1
Habilitar modulo: 
44 1
45 1
<pre>
46 1
a2enmod proxy_ajp
47 1
</pre> 
48 1
49 1
Agregar directiva para proxy en configuración del virtual host. En el ejemplo se habilita la aplicacion "ink"
50 1
51 1
<pre>
52 1
ProxyPass /ink ajp://192.168.56.1:8009/ink
53 1
</pre>
54 1
55 1
h3. 4. Configuación de apache - proteccion de recurso con shibboleth
56 1
57 1
En conf.d/shib.conf agregar directiva para proteger el recurso "/ink". Ejemplo:
58 1
59 1
<pre> <code class="xml">
60 1
<Location /ink>
61 1
  AuthType shibboleth
62 1
  ShibCompatWith24 On
63 1
  ShibRequestSetting requireSession 1
64 1
  require shib-session
65 1
</Location>
66 1
</code> </pre>
67 1
68 1
h3. Visualizacion de atributos en la aplicación:
69 1
70 1
Un servlet puede acceder a la información cargada por el modulo shibboleth:
71 1
Por ejemplo, puede obtener el usuario remoto, y un atributo con el mail: 
72 1
73 1
<pre>
74 1
request.getRemoteUser()
75 1
request.getAttribute("mail")
76 1
</pre>
77 1
78 1
Adjunto: test2.jsp ejemplo donde se visualizan varios atributos recibidos.
79 1
80 1
81 1
--------------------------------------------------