Integración SSO Shibboleth - Documentación técnica

Introducción

El Career Center es la nueva plataforma de carreras en línea de vuestra institución, en la cual vuestros alumnos y ex alumnos pueden obtener información sobre empresas, encontrar prácticas y ofertas de empleo, entre otras cosas.

Para permitir que vuestros diferentes usuarios accedan al Career Center vía SSO, JobTeaser trabaja con varios protocolos SSO, uno de ellos es Shibboleth.

Integración SSO Shibboleth

Descripción

Shibboleth es un sistema de inicio de sesión único para redes informáticas e Internet, que permite a la gente iniciar sesión usando una sola identidad en varios sistemas dirigidos por federaciones de diferentes organizaciones o instituciones. Las federaciones suelen ser universidades u organizaciones de servicio público. Históricamente, los protocolos Shibboleth y SAML se desarrollaron durante el mismo período. Desde el principio Shibboleth se basó en SAML, pero los desarrolladores de Shibboleth implementaron en este protocolo funcionalidades que faltaban en la versión SAML 1.1. Algunas de estas funcionalidades se incorporaron más tarde en SAML 2.0, y en ese sentido, Shibboleth contribuyó a la evolución del protocolo SAML.

La siguiente documentación es relativamente similar a la documentación SAML. Sin embargo, algunos puntos son específicos de Shibboleth.

Capture_d_e_cran_2020-03-17_a__12.11.44.png

Configuración de vuestra plataforma

  • URL del emisor: https://school-permalink.jobteaser.com/users/auth/school_permalink_shibboleth/metadata
  • URL de la llamada: https://school-permalink.jobteaser.com/users/auth/school_permalink_shibboleth/callback
  • URL de inicio de sesión: https://school-permalink.jobteaser.com/

Nota: el permalink es el subdominio utilizado para acceder al Career Center

Entornos técnicos

Las siguientes direcciones IP tienen que ser autorizadas para solicitar vuestro servidor de autenticación:

  • Desarrollo: 84.14.204.224 to 84.14.204.239
  • Producción: 34.247.150.89, 52.48.69.13 and 34.242.136.182
  • Pre producción: 34.248.34.73, 52.209.6.99 and 52.31.86.10

Configuración JobTeaser 

Requisitos

  • URL de los metadatos SAML de vuestro Proveedor de Identidad (IDP)
  • Usuario de prueba para la validación de extremo a extremo
  • NameID (debe tener un formato persistente y no debe ser un correo electrónico)

Atributos del usuario

Los siguientes atributos deben ser transferidos a JobTeaser:

FriendlyName Name NameFormat
mail urn:oid:0.9.2342.19200300.100.1.3 urn:oasis:names:tc:SAML:2.0:attrname-format:uri
givenName urn:oid:2.5.4.42 urn:oasis:names:tc:SAML:2.0:attrname-format:uri
sn urn:oid:2.5.4.4 urn:oasis:names:tc:SAML:2.0:attrname-format:uri

Nota: El NameID es la clave única (uid) que permite a JobTeaser identificar al usuario. Este atributo está incluido en el protocolo SAML, por lo que no es necesario añadirlo a los atributos de usuario.

Ejemplo:

<?xml version="1.0" encoding="UTF-8"?> <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="_6a594969-3bb5-4cb5-b282-a3bbef28596f" Version="2.0" IssueInstant="2017-09-26T13:36:11.599Z" Destination="https://school-test.jobteaser.com/users/auth/school_test_shibboleth/callback" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_89a8d0d0-84ed-0135-a6ff-784f4377ec3a"> <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://school-test.com/adfs/services/trust</Issuer> <samlp:Status> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> </samlp:Status> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion" ID="_f7f62832-87a9-4e4d-84c4-b32896426771" IssueInstant="2017-09-26T13:36:11.598Z" Version="2.0"> <Issuer>http://school-test.com/adfs.luiss.it/adfs/services/trust</Issuer> <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" /> <ds:Reference URI="#_f7f62832-87a9-4e4d-84c4-b32896426771"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" /> <ds:DigestValue>xLPchzLCcPyeg5f+b86alx/5qF/vfWL1rOcM3CMwa5o=</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>BnxIWEu5z3vrIJSINwi2yVJdXNOW4aHNevOYh7C+Z/6k4wpnER2Yrq8p3ZwFYQrQzj1JpubLNLVnf5k1TIbyFDiRyPTn049Fw0vE/6Mr8ymwnqysA4yp9nfm7s3bIiEf9C2rErNaHtAb1CyAeFrus1MqdBy5RhiXLPSSzcq4SPy+y+bsONZcfBhcvm4CGRLviye737arxf+KI4bKLzWRdwc1Inx5IlH1BJnFS7c9fJ+5xTjtF/N670VXo2/RMTA3lv3T93e7Mvu0/MnPCbNgvjekCFdqjMZc02y5YPgXZMnPtNmV4zfAGxmILipmleZWudzkepgmdOAvJrawLVjU/A==</ds:SignatureValue> <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate>MIIC1jCCAb6gAwIBAgIQYiu3Ar7taK5J5cwduzsPVjANBgkqhkiG9w0BAQsFADAnMSUwIwYDVQQDExxBREZTIFNpZ25pbmcgLSBhZGZzLmx1aXNzLml0MB4XDTE3MDEyODIxMDg0OFoXDTE4MDEyODIxMDg0OFowJzElMCMGA1UEAxMcQURGUyBTaWduaW5nIC0gYWRmcy5sdWlzcy5pdDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMaAMMC+osNrNe58H6vWChnWa221XWeZGCnB9U4ItYzxkcj1OaHKRDZu+WxkIj7riQVecodA/CXLTeVbvVdMLxAytbXNz1GgFl+LSkVLlA1MxiErcEQsrekdt5eMAcj1HabflwcL2rJzXXjMn+jcRr4MYmzWnrWHr2dFU8AuxMNu49C6TeSJMFx5bAMA7I+qZbO/CqPcksRsIKNTrHaKhAM1aT6674Y+TmkQd3Hc/t6MyyJKTn7D+DG2fGZNu2Ig1zHdjV206Tq24TXRwr+2hRWxtbkwFxbxBQtXwGyVDvf+mrN+0+v7i909bnFqwnLbnWgQKI9X1FiEtmUxutXHp20CAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAcCoUFgrNvNrLPzCvTPczAVQqoEccLEyV0LGv/xj4eXiNOW7AiJoi17aqQmdAFqal3Jkz8aPj7CkD1rZ81S5VZ1NYO5k0NYyoUQH0UKz2JpITmAstg5FCTzChxI59ZPfpLcA3JsJUwQOYqdRTbZichyJvVvApkkeyIAAIqtV3liMGQknbKHAhhrEdS8X/0ARO8j037gt1ItWmLs49Px8Mc4jR3oeu+VUsGKm5Brpq0JcAoXCSOQd0WCsGhD/BaUZaKu7HF1gHt2TiLkkO3qBUq6KsN8aiKoTt3kN81NrPNLgqQ4VPWOK/ZbP8rud8lNGT5cR1wKI3Pji2tfRvRQ5d4A==</ds:X509Certificate> </ds:X509Data>

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.