Op de "Mijn Instelling" tab staat de vlag "Gast-toegang ingeschakeld" onterecht op "Ja"...

[phavekes]

This issue is imported from pivotal - Originaly created at Sep 3, 2019 by Henny Bekker

De vlag "Gast-toegang ingeschakeld" loopt niet parallel met de koppelstatus van de gast IdP..

Ook bij diensten enkel en alleen gekoppeld aan de IdP van de thuis instelling (waarvan de "coin:guest_qualifier" op "none" staat)...

[phavekes]

@hennybekker ik snap niet helemaal wat je bedoeld. De "gast-toegang" wordt nu bepaald door te kijken of je bij de Service kan komen met de IdP "https://www.onegini.me". Dit moet worden uitgebreid met Services waar "soin:ss:idp_visible_only" op True staat en waar  "coin:guest_qualifier" bij de IdP op "none" staat? Of moet ik kijken naar de allowedEntities van de SP en als dat 1 IdP is die bovendien dezelfde "institution_id" heeft en "coin:guest_qualifier" bij die IdP op "none" staat? Of beide?  (Okke Harsta - Sep 19, 2019)

[phavekes]

@okkeh Het is geen feature request maar een fout...  In het IdP Dashboard van SURFconext staat nu voor een dienst "Gast-toegang ingeschakeld" --> JA terwijl aan die dienst de IdP "https://www.onegini.me" niet is gekoppeld .... (Henny Bekker - Sep 19, 2019)

[phavekes]

(Henny Bekker - Sep 19, 2019)

[phavekes]

Oeps... Was dus per abuis als "feature" gelabeled ipv als "bug"... Nu dus wel goed.. (Henny Bekker - Sep 19, 2019)

[phavekes]

@hennybekker staat voor de SP op de screenshot toevallig "Allow all Identity Providers access to XXX" in de whitelisting op \'true\'?  (Okke Harsta - Sep 19, 2019)

[phavekes]

Eeeh... de "XXX" is de dienst "OpenConext monitoring SP".. (Henny Bekker - Sep 19, 2019)

[phavekes]

Weet ik, maar ik kan niet op productie kijken. Staat voor OpenConext monitoring SP "Allow all Identity Providers access to OpenConext monitoring SP" in de whitelisting op \'true\'? (Okke Harsta - Sep 19, 2019)

[phavekes]

@okkeh Je zegt: staat voor de SP op de screenshot toevallig "Allow all Identity Providers access to XXX" in de whitelisting op \'true\'? 

Antw: Yep.. De "Allow all Identity Providers access to OpenConext monitoring SP" staat aangevinkt...

Hoe dan ook, als ik er al geen hout van snap, laat staan de SVC... Daar moet dus iets aangepast worden ... Ik zal het @raoulteeuwen Vragen .... (Henny Bekker - Sep 19, 2019)

[phavekes]

@raoulteeuwen en @hennybekker De moeilijkheid aan het vinkje "gast-toegang" is de dubbele whitelisting matrix in Manage. Een SP kan zijn aangevinkt met "Allow all Identity Providers access" en dat interpreteert Dashboard als zijnde dat "gast-toegang" op "Ja" staat. Maar in productie - gok ik - dat one gini ook een expliciete whitelisting heeft en moet ik daar dus ook naar kijken. Klopt deze laatste aanname? Ofwel zijn er expliciet SP\'s gewhitelist in one gini IdP? De code in dashboard gaat er eigenlijk van uit dat in oneGini IdP het vinkje "Allow all Service Providers access" aan staat. (Okke Harsta - Sep 19, 2019)

[phavekes]

@okkeh @raoulteeuwen Op de productie omgeving van SURFconext staat per definitie de ACL op een SP open voor elke IdP..  De ACL wordt in deze bijgehouden op de IdP..

Ook op de OneGini IdP is er een ACL... Dus ja, Er moet in deze niet alleen naar de ACL op de SP maar ook naar de ACL op de OneGini IdP gekeken worden .. (Henny Bekker - Sep 19, 2019)

[phavekes]

Implemented. I have made the entityID of the guest IDP configurable per environment. For the test2 environment it is "http://mock-idp" and for prod and acc the setting is:

guestidp_entityid: "https://www.onegini.me"

(Okke Harsta - Sep 25, 2019)

[phavekes]

While testing it, we saw some complexity ... Could you please add an i behind the text "Guest access enabled" in https://dashboard.test2.surfconext.nl/my-idp with text "More info"/"Meer info" and link to https://edu.nl/48ftk, we stress we are talking about OneGini (or whatever that may become in the future) (Raoul Teeuwen - Oct 22, 2019)