Wurde an einer Einrichtung erst einmal ein IdP eingerichtet, entsteht schnell der Wunsch, möglichst viele einrichtungsinterne Dienste mit Service Providern auszustatten, um ebenfalls in den Genuss des vereinfachten User-/Passwort-Managements zu kommen. Beispiele für solche Anwendungen sind:
Diese Dienste sollen i.d.R. nicht von anderen Einrichtungen genutzt werden können. Sie gehören daher nicht in die DFN-AAI. Die Metadatenverwaltung bietet eine andere Möglichkeit: Sie können dort einen lokalen Metadatensatz generieren lassen, die nur den IdP und die lokalen SPs Ihrer Einrichtung enthält. Alle lokalen Metadatensätze werden stündlich neu erzeugt und sind über feste URLs abrufbar. Damit ist zugleich gewährleistet, dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen.
Ein weiterer Vorteil für Sie: Wenn Sie hausinterne Dienste als lokale SPs in die Metadatenverwaltung einpflegen, werden Sie vor Ablauf der Zertifikate genau so von uns informiert wie bei den Systemen in den Föderationen.
In der neuen Metadatenverwaltung ist es nicht nötig, die Generierung des Datensatz erst anzustoßen. Wenn Sie den ersten Service Provider in die lokalen Metadaten aufnehmen, dann wird der Datensatz ab diesem Moment stündlich für Sie generiert. Die URL finden Sie in der Metadatenverwaltung auf der Übersichtsseite Ihrer Einrichtung, im Abschnitt lokale Metadaten.
Dort können Sie bei Bedarf auch den Zugriff auf die URL auf bestimmte IP-Adressen oder -Adressbereiche einschränken. Klicken Sie dazu auf „Zugriff auf Download-URL einschränken“.
Für die lokalen Metadaten muss in ./conf/metadata-providers.xml
ein weiteres <MetadataProvider>
-Element hinzugefügt werden.
<MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" ...> <!-- ... --> <MetadataProvider id="DFN_AAI" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml" maxRefreshDelay="PT2H"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="/etc/ssl/aai/dfn-aai.pem"/> </MetadataProvider> <MetadataProvider id="DFN_AAI_Local" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/dfn-aai-local-999-metadata.xml" metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-local-999-metadata.xml" maxRefreshDelay="PT2H"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="/etc/ssl/aai/dfn-aai.pem"/> <MetadataFilter xsi:type="EntityRole"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> </MetadataProvider>
Beim Shibboleth SP fügt man in /etc/shibboleth/shibboleth2.xml
einen zusätzlichen Metadataprovider hinzu:
... <MetadataProvider type="XML" url="http://www.aai.dfn.de/metadata/dfn-aai-local-999-metadata.xml" validate="true" backingFilePath="dfn-aai-local-999-metadata.xml" reloadInterval="3600"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/> </MetadataProvider> ...