IntegracionApp1
Versión 1 (Emilio Penna, Martes, 5 de Enero de 2016 12:55:28 -0300) → Versión 2/10 (Emilio Penna, Jueves, 12 de Julio de 2018 15:05:19 -0300)
h1. ShibbolethAppIntegration
Referencia: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPEnableApplication
*Introducción:*
There are many different ways to integrate the Shibboleth SP with an application. Some are very elegant, and some are really not elegant. Some are simple and fast, and others are complicated and will take a long time. The rule of thumb is to deliver the information Shibboleth supplies to the application in the manner the application expects it already, or to modify the application.
h2. Consideraciones:
* Ejemplo de consideracion: se puede hacer proteccion a nivel de infraestructura (apache) de toda la webapp o solo de una pagina de inicio de sesion.
* ¿Que hago si en mi aplicacion tengo un acceso de un usuario autenticado por el IdP, pero que no esta registrado en la base de usuarios de la aplicación? Algunos comentarios: autorizacion previa, ejemplo de moodle, asignacion automatica a grupos basada en atributos informados por el IdP.
h2. Ejemplos:
Ejemplos de script, que toman variables shibboleth: http://shib.kuleuven.be/download/sp/test_scripts/
h2. Integración aplicaciones java
[[ShibbolethSPAppJava| Integración aplicaciones java]]
h2. Integración aplicaciones python
[[ShibbolethSPAppPython| Integración aplicaciones python]]
h2. Integración aplicaciones PHP
Se puede acceder a las variables de entorno cargadas por el SP, consultando el array $_SERVER.
*Ejemplo:*
Configurar apache para que proteja el directorio /var/www/secure, como se indica en [[ShibbolethSPInstall]]
En /var/www/secure crear test.php, con el siguiente contenido
<pre>
<code class="php">
<html>
<body>
<?php
echo "PRUEBA SHIB SP - VARIABLES DEL SERVIDOR: ";
foreach($_SERVER as $key_name => $key_value) {
print $key_name . " = " . $key_value . "<br/>";
}
?>
</body>
</html>
</code> </pre>
*Escenario con reverse proxy:*
En el caso de utilizar un reverse proxy apache (SP instalado en el reverse proxy), las variables se propagan como headers http. En este caso no se obtienen como variables del servidor.
Ejemplo de acceso al al array de headers:
<pre>
<code class="php">
$headers = apache_request_headers();
echo "PRUEBA SHIB SP - HEADERS HTTP RECIBIDOS: ";
foreach($headers as $key_name => $key_value) {
print $key_name . " = " . $key_value . "<br/>";
}
</code>
</pre>
h2. Integración aplicaciones Genexus
TODO
h2. Gestores de contenido
h3. Moodle
h3. DSpace
TODO
h2. Logout
Hay varias cosas que considerar, y que pueden aplicar o no dependiendo del escenario:
* cerrar sesión de la aplicación
* cerrar sesión en el SP (sesion mantenida por el modulo shib SP en apache)
* cerrar sesión en el IdP
* cerrar sesión en otras aplicaciones en las que se haya iniciado sesión con el IdP
Lo que haremos en princpio, es que cuando el usuario cierre sesión en una aplicación, se cierre sesion en la aplicacion, en el SP y en el IDP. También se dará un mensaje (en logout de idp) diciendo que si quiere completar el cierre de sesión, cierre el browser.
Para implementar esa funcionalidad, la aplicacion, luego de destruir su sesión, debe redirigir al logout del SP, y el logout del SP estará configurado para redirigir luego al logout del IdP
Ejemplo de url para logout en el SP:
https://sp1.seciu.edu.uy/Shibboleth.sso/Logout
Refs:
https://wiki.cac.washington.edu/display/infra/Configure+Service+Provider+Logout
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPServiceLogout
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPLogoutInitiator
h2. Shibboleth Enabled Applications and Services
https://wiki.shibboleth.net/confluence/display/SHIB2/ShibEnabled