Switch AAI als Login anbinden

[peggimann]

Als Benutzer möchte ich gerne mein normales Uni Login verwenden. Dies erleichtert mir den Umgang mit der Applikation.

Hinweise zur Implementierung

Anhand eines PoC wurde die Authentisierung mit SWITCH AAI implementiert und getestet. Die Erkenntnisse aus dem PoC sollen in das aktuelle Projekt einfliessen. Für den PoC ist es notwendig, lokal einen Shibboleth Service Provider (SP) aufzusetzen. Anhand der Anleitung unter docker shibboleth sp kann der lokale SP aufgesetzt werden. Anhand der Anleitung unter PoC Login kann die Authentisierung in der EFT Applikation konfiguriert und implementiert werden.

Folgende Themen sind im PoC behandelt:

• Einbindung SWITCH AAI (prod. Umgebung) und AAI Test (Testumgebung)
• Aufsetzen eines Docker Image für den Shibboleth Service Provider (SP)
• Konfiguration SP und Apache httpd (beides im Docker Image)
• Umstellung EFT Applikation auf SSL und AJP
• Konfiguration der Spring Boot Security und Implementierung Pre-Authenticated Security Filter, welches in der Security Filter Chain verwendet wird
• Beispiele zu unauthorisiertem und authorisiertem Zugriff (Home Page, EFT Page)
• einfachste Integration Tests, um die Funktionalität zu prüfen

Folgende Themen sind im PoC nicht (weiter) behandelt und werden in Folge-Stories abgearbeitet:

• Testing: http vs. https in den Tests (Unit Tests, E2E Tests)
• Testing: mocked vs. skipped Authentication in den Tests (Unit Tests, E2E Tests)
• Bereiche festlegen: Verfeinerung der gesicherten / ungesicherten Bereiche ( host/eft vs. host/home)
• Zertifikat: Offizielles Zertifikat und Public Key bestellen und einbinden
• Konfiguration: Auslagerung der Konfiguration abklären (Konfig-Werte, Dateien / Zertifikate)
• Delivery: Inhalt Docker Image(s) abklären

Anforderungen

• Switch AAI ist hinterlegt als Login
• Aus dem Login wird unter anderem die Matrikelnummer erhalten, um sicherzustellen, dass die Prüfung nur von sich selber eingesehen werden können.
• Der SP ist ein Shibboleth Server, welcher den Authorization workflow handelt.

Akzeptanzkriterien

• [ ] Die oben aufgeführeten Anforderungen sind Vollumfänglich und konsistent über das ganze Projekt implementiert
• [ ] Das feature ist sauber getested.

[MasterEvarior]

Something that could be helpful: https://shibboleth.atlassian.net/wiki/spaces/SHIB2/pages/2577072242/SPReverseProxy