Shibboleth Single-Sign-On mit TYPO3

Wir leben TYPO3

Single-Sign-On with TYPO3 –
Die Extension „shibboleth“
Wir leben TYPO3 in2code.de

Agenda


Agenda

• Single-Sign-On mit Shibboleth
• Die Extension „shibboleth“
• Live-Demo
• Weitere Entwicklung


Single-Sign-On mit Shibboleth


Komponenten
TYPO3 Shibboleth IdP
(FE or BE) (Discovery Service) Shibboleth IdP
(Identity Provider)
Shibboleth IdP
(Identity Provider)
(Identity Provider)
EXT:shibboleth
TYPO3 auth services

mod_shibb
Apache httpd

OS with shibd

Authentifizierungs-
Webserver (Service Server
Provider)

• Es wird der „native Service Provider“
verwendet

Umgebungsvariablen

• REMOTE_USER wird nicht
notwendigerweise benutzt!


Die Extension „shibboleth“


Installation

• Extension installieren
• .htaccess anpassen:
AuthType shibboleth
# ShibRequireSession On
require shibboleth
Passiver („lazy“) Modus


Konfiguration

• Im Extension
Manager
• Konfigurations-
datei für das
„Mapping“


Allg. Konfigurationsparameter

• Wie wird der native SP aufgerufen:
entityID, handlerURL, Session Initiator,
„force SSL“
• Pfad zur Konfigurationsdatei für das
Mapping


FE-Konfigurationsparameter

• Benutzer-Autoimport (ja/nein)
• Page ID für Autoimport
• Optional: Application-ID (Shibboleth)


BE-Konfigurationsparameter

• Benutzer-Autoimport (ja/nein)
• Benutzer deaktiviert importieren (ja/nein)
• Shibboleth-Link im Login-Formular
aktivieren
• Optional: Application-ID (Shibboleth)


Backend-Login-Formular

Keine Core-Änderung!
(Javascript über Hook)

Struktur der Mapping-Konfig.

• TypoScript-Syntax:
tx_shibboleth {
FE { Zuordnung der User-ID
IDMapping {
…
}
Autorisierung
userControls {
allowUser … Metadaten-Übernahme
createUserFieldsMapping …
updateUserFieldsMapping …
} Metadaten-Updates
}
BE
…


Zuordnung der User-ID
Beispiel Umgebungsvariablen

BE {
IDMapping {
Bezug auf Umgebungsvariable (von shibd)
shibID = TEXT
shibID.field = uid
typo3Field = username
}
Feldname in TYPO3 (meist: username)
…
}


Selektion erlaubter Benutzer
BE {
… Jeder erkannte Benutzer wird
userControls { zugelassen (Autorisierung)
allowUser = TEXT
allowUser.value = 1
…
}

• Flexibilität durch Nutzung des TypoScript-
Parsers: Fast beliebige Bedingungen für
die Autorisierung können definiert werden


Benutzer-Metadaten
BE {
…
userControls {
Metadaten kommen vom
…
IdP
createUserFieldsMapping {
realName = COA
realName.1 = TEXT
realName.1.field = sn
realName.3 = TEXT
realName.3.field = givenName
realName.3.noTrimWrap = |, ||
}
…
}
}


Live-Demo


Die Situation

• Es werden >200 TYPO3-Instanzen betreut
• Die „Instanz-Eigentümer“ haben keine
Admin-Rechte
• Die Instanz-Eigentümer pflegen auch die
Redakteure
• Die Backend-Anmeldung erfolgt über
Shibboleth


Extension groupdelegation

• Spezielle BE-Benutzer erhalten das Recht,
die Gruppenzuordung anderer Benutzer
zu editieren
• Beschränkt auf die eigenen Gruppen
• Auch die Freischaltung/Sperrung der
Benutzer wird erlaubt


Live-Demo-Szenario

• Neuer Benutzer soll Backend-Zugriff
bekommen
1. Anmeldeversuch über Shibboleth 
Benutzer wird angelegt, aber gesperrt
2. Admin oder „Sub-Admin“ schaltet frei
3. Erfolgreiche Anmeldung über Shibboleth

NICHT klicken! Live-Demo!


Weitere Entwicklung


Weitere Entwicklung

• Dokumentation und Veröffentlichung
• Embedded Discovery Service?
• Single-Logout
– Caveats: Benutzer-Erwartung und -Führung
• Logout in Load-Balancing-Umgebungen
– „Sticky Sessions“?
– Shared Process?
– Store Session on ODBC-Database?

Vielen Dank

Links und Kontakt:
http://forge.typo3.org/projects/show/extension-shibboleth
http://de.slideshare.net/tschikarski/shibboleth-singlesignon-mit-typo3
mailto:thomas.schikarski@in2code.de


Shibboleth Single-Sign-On mit TYPO3

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (17)

Semelhante a Shibboleth Single-Sign-On mit TYPO3

Semelhante a Shibboleth Single-Sign-On mit TYPO3 (20)

Shibboleth Single-Sign-On mit TYPO3