Tento návod popisuje instalaci a konfiguraci poskytovatele identit (Identity Provider, IdP). Přestože existují i jiné možnosti (např. SimpleSAMLphp), doporučujeme použít Shibboleth IdP řady 5, jemuž se tento návod věnuje.
Konec podpory pro Shibboleth IdP řady 4 je k 1. 9. 2024. Tento návod se tedy týká již nové řady 5.
Můžete buď instalovat úplně od začátku anebo aktualizovat z poslední verze řady 4. V každém případě, budete-li instalovat od začátku, doporučujeme použít Debian 12 (Bookworm). Budete-li aktualizovat stávající instalaci, zůstanete na Debianu 11 (Bullseye), pokud jste se drželi našeho doporučení na operační systém — podpora pro Bullseye končí v červnu 2024, rozšířená podpora končí v červnu 2026.
Sdružení CESNET doporučuje provozovat Shibboleth IdP na aktuální verzi 64bitové linuxové distribuce Debian (v současnosti Debian 12 Bookworm), pro niž je tento návod sepsán.
Pro instalaci můžete použít jak dedikovaný hardware, tak virtuální stroj. Systém by však měl splňovat alespoň následující výkonové požadavky, které závisí mimo jiné na množství obsluhovaných uživatelů:
Pro správnou funkčnost je velice důležité, aby měl server přesně nastavený a synchronizovaný čas. SAML zprávy obsahují časové značky, které jsou kontrolovány, a pokud je čas na serveru špatně, autentizace uživatelů nebude fungovat.
Z pohledu softwarové výbavy je pro běh potřeba následující:
Shibboleth IdP je webová aplikace naprogramovaná v Javě, která pro svůj běh potřebuje kromě samotné Javy ještě servletový kontejner a samozřejmě i webový server. Pro obojí použijeme Jetty.
Dále je také potřeba databáze pro ukládání souhlasů s uvolněním uživatelských informací (atributů) a ukládání pseudonáhodného řetězce pro atribut eduPersonTargetedID / persistentní NameID. Jako databázi použijeme MariaDB.
V tomto návodu budeme používat utility, které nejsou součástí minimální instalace Debianu, a proto si je nainstalujeme:
# Instalace používaných utilit apt install --no-install-recommends dirmngr gpg less vim
Zbývající instalace je rozdělena do třech kroků:
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz