Testipalvelu

Last modified by Jukka Karvonen on 2024/11/12 10:48

HY:llä on käytössä testi-IdP (https://login-test.it.helsinki.fi), joka integroituu SP-rekisteriin. Testi-IdP käyttää pääosin vastaavaa konfiguraatiota kuin tuotantopalvelin, joten tällä voi hyvin testata palveluiden toimivuutta. "Kertakirjautuminen" työasematunnuksilla tai MFA eivät ole käytössä testipalvelussa.

Testi-IdP:n huoltoikkuna on kuukauden 2. tiistai, kello 12-14. Muina aikoina testipalvelu pyritään pitämään käytettävissä.

Palvelu on käytettävissä SAML2- ja OIDC-kirjautumisen testaukseen.

Palvelun asetukset SAML-testipalvelulle

Kytkentä tapahtuu vastaavasti kuin yleisissä ohjeissa, seuraavin poikkeuksin:

Metadata

Testi-IdP:n metadata löytyy osoitteesta: https://login-test.it.helsinki.fi/metadata/sign-hy-test-metadata.xml

Metadatan allekirjoitusvarmenne löytyy osoitteesta: https://login.helsinki.fi/metadata/sc/sign-login.helsinki.fi-v2.pem

Palvelun asetukset OIDC-testipalvelulle

Metadata

OpenID Provider metadata palvelulle löytyy osoitteesta: https://login-test.it.helsinki.fi/.well-known/openid-configuration

Palvelun lisääminen testipalveluun

Palvelu lisätään ensin SP-rekisteriin ohjeiden mukaisesti ja valitaan "Tekniset tiedot"-kohdasta "Julkaista testipalvelimille".

Palvelun teidot päivittyvät testi-IdP:lle automaattisesti 5 minuutin sisällä. Testi-IdP:llä käytetään validoimatonta metadataa, jolloin kaikki käyttäjän palveluun tekemät muutokset tulevat voimaan testi-IdP:llä, ilman hyväksyntää.

  • Huom. testipalveluiden muutoksia ei erikseen hyväksytä SP-rekisterissä, koska hyväksynnällä ei ole käytännön merkitystä.
  • Testipalvelun tunnuksia ei tule käyttää palveluissa, joissa käsitellään todellista, luottamuksellista tietoa.

Testikäyttäjät

Testi-IdP ei käytä todellisia helsinki.fi käyttäjätunnuksia, vaan palveluun voi luoda omia testikäyttäjiä halutuilla attribuuteilla. Nämä tehdään SP-rekisterissä valitsemalla palvelun ja Testikäyttäjät-kohdan. Tämä kohta näkyy vain, jos palvelu on lisätty testipalveluun.

Rajoituksia testitunnuksille:

  • Testitunnusten käyttäjänimen tulee olla yksilöllisiä SP-rekisterissä.
  • Oletuksena testitunnukset on rajattu vain siihen palveluun, jolle ne on luotu. Palvelun ylläpitäjä voi kuitenkin sallia tunnuksen käytön myös muissa palveluissa joihin hänellä on SP-rekisterissä hallintaoikeus.
    • Testitunnukselle käytössä olevat attribuutit rajautuvat sen palvelun mukaan johon tunnus on luotu. Jos tarvitsette testitunnuksia eri palveluiden välille, kannattaa harkita erillisen meta-SP:n määrittämistä vain testitunnusten hallinnointiin, jolle määrittää kaikki attribuutit.

Testikäyttäjien muutokset tulevat voimaan välittömästi.

Testikäyttäjillä on hyvä testata, että sovellus käsittelee oikein puuttuvat attribuutit. Teoriassa myös "pakollisia" attribuutteja, kuten email, voi puuttua tunnuksilta ja käyttäjille olisi tällöin annettava järkevä virheilmoitus, jos kyseinen attribuutti on pakollinen.

HY noudattaa attribuuttien muodossa Haka-skeemaa, eli oikeita muotoja arvoille löytää osoitteesta https://wiki.eduuni.fi/display/CSCHAKA/funetEduPersonSchema2dot5. Lisäksi saatavilla on joitain HY:n omia arvoja, kuten hyGroupCn, joita ei löydy tästä skeemasta.

Attribuutille voi antaa monta arvoa erottamalla ne toisistaan puolipisteellä.

Monet attribuuteista ovat oletuksena muodoltaan value@scope (esim. testuser@helsinki.fi). Testi-IdP ei automaattisesti lisää scopea näihin attribuutteihin vaan ne tulee lisätä itse käsin. Osa palveluista myöskin rajoittaa sallitun scope-arvon IdP:n metadatassa mainittuun arvoon, joka myös testi-IdP:n metadatassa on @helsinki.fi. Testipalvelu ei itse rajoita lähetettyjä arvoja, joten jos et jostain syystä saa scoped-attribuuttia perille, tarkasta ettei käyttämäsi palvelupään SAML-toteutus rajoita sitä. Shibboleth SP:ssä oletusrajaukset löytää attribute-policy.xml-tiedostosta. Yleisiä scoped-attribuutteja ovat esim. eduPersonPrincipalName ja eduPersonScopedAffiliation.