Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:aai:mdq [2021/03/21 15:16] Wolfgang Pempede:aai:mdq [2022/05/02 14:09] Wolfgang Pempe
Zeile 7: Zeile 7:
 ===== Erläuterungen ===== ===== Erläuterungen =====
 Im Rahmen der SAML-basierten Kommunikation ermöglicht es der **Metadata Query Service**, die Metadaten der jeweiligen Gegenstelle (IdP/SP/Attribute Authority) in Echtzeit abzurufen, wobei hier i.d.R. auch ein Chaching stattfindet. Daher wird dieser Mechanismus auch als **Per-Entity Metadata** bezeichnet. Im Gegensatz zum traditionellen Verfahren, Föderationsmetadaten als große XML-Dateien zur Verfügung zu stellen, die von den jeweiligen technischen Instanzen heruntergeladen, validiert und weiterverarbeitet werden müssen, ist der Per-Entity Ansatz deutlich leichtgewichtiger und ressourcenschonender. IdPs, SPs und Attribute Authorities verarbeiten nur die Metadatdaten, die aktuell benötigt werden. Die Grundlage für dieses Verfahren bildet das **Metadata Query Protocol** (siehe unter [[#referenzen|Referenzen]]). \\ Im Rahmen der SAML-basierten Kommunikation ermöglicht es der **Metadata Query Service**, die Metadaten der jeweiligen Gegenstelle (IdP/SP/Attribute Authority) in Echtzeit abzurufen, wobei hier i.d.R. auch ein Chaching stattfindet. Daher wird dieser Mechanismus auch als **Per-Entity Metadata** bezeichnet. Im Gegensatz zum traditionellen Verfahren, Föderationsmetadaten als große XML-Dateien zur Verfügung zu stellen, die von den jeweiligen technischen Instanzen heruntergeladen, validiert und weiterverarbeitet werden müssen, ist der Per-Entity Ansatz deutlich leichtgewichtiger und ressourcenschonender. IdPs, SPs und Attribute Authorities verarbeiten nur die Metadatdaten, die aktuell benötigt werden. Die Grundlage für dieses Verfahren bildet das **Metadata Query Protocol** (siehe unter [[#referenzen|Referenzen]]). \\
-Es liegt in der Natur dieses Verfahrens, dass ein Metadata Query Service besonders hohen Anforderungen hinsichtlich Verfügbarkeit und Ausfallsicherheit genügen muss. Der Pilotbetrieb in der DFN-AAI dient dazu, diesbezügliche Erfahrungen zu sammeln, ggf. Verbesserungen vorzunehmen und den späteren Einsatz im Produktivbetrieb vorzubereiten.+Es liegt in der Natur dieses Verfahrens, dass ein Metadata Query Service besonders hohen Anforderungen hinsichtlich Verfügbarkeit und Ausfallsicherheit genügen muss. Der Pilotbetrieb in der DFN-AAI dient dazu, diesbezügliche Erfahrungen zu sammeln, ggf. Verbesserungen vorzunehmen und den späteren Einsatz im Produktivbetrieb vorzubereiten. \\ 
 +Beachten Sie bitte auch die [[de:aai:mdq#weitere_hinweise_und_bekannte_probleme|weiteren Hinweise]] unten. 
 + 
 +**Wichtiger Hinweis:** Der MDQ-Service liefert **keine** [[de:metadata_local|lokalen Metadaten]] aus! Diese müssen nach wie vor über einen "statischen" Metadata Provider des Typs ''FileBackedHTTPMetadataProvider'' (Shib IdP) bzw. ''XML'' (Shib SP) eingebunden werden.
  
 \\ \\
  
 ===== Parameter ===== ===== Parameter =====
-**URL für die Metadaten der Produktivföderation und eduGAIN:** <code>http(s)://mdq.aai.dfn.de</code>+**URL für die Metadaten der Produktivföderation (DFN-AAI, DFN-AAI-Basic) und eduGAIN:** <code>http(s)://mdq.aai.dfn.de</code>
  
-**URL für die Metadaten der Produktivföderation:** <code>http(s)://mdq-test.aai.dfn.de</code>+**URL für die Metadaten der Testföderation (DFN-AAI-Test):** <code>http(s)://mdq-test.aai.dfn.de</code>
  
 **Zertifikat zur Überprüfung der Signatur der DFN-AAI MDQ Metadaten** (PEM-Format) \\ **Zertifikat zur Überprüfung der Signatur der DFN-AAI MDQ Metadaten** (PEM-Format) \\
 SHA256 Fingerprint: 73:5B:9E:76:8A:A6:33:73:4D:3E:C6:D2:1E:98:B3:D9:03:74:B9:87:16:52:16:53:32:26:9A:B2:55:FC:CA:D2 \\ SHA256 Fingerprint: 73:5B:9E:76:8A:A6:33:73:4D:3E:C6:D2:1E:98:B3:D9:03:74:B9:87:16:52:16:53:32:26:9A:B2:55:FC:CA:D2 \\
-https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-mdq.pem +https://www.aai.dfn.de/metadata/dfn-aai-mdq.pem 
  
 \\ \\
Zeile 26: Zeile 29:
 ==== Shibboleth IdP 4.x ==== ==== Shibboleth IdP 4.x ====
  
-=== Produktivföderation und eduGAIN ===+=== Produktivföderation (DFN-AAI, DFN-AAI-Basic) und eduGAIN ===
  
 <file xml ./conf/metadata-providers.xml> <file xml ./conf/metadata-providers.xml>
Zeile 37: Zeile 40:
 </file> </file>
  
-=== Testföderation ===+=== Testföderation (DFN-AAI-Test) ===
  
 <file xml ./conf/metadata-providers.xml> <file xml ./conf/metadata-providers.xml>
Zeile 60: Zeile 63:
 \\ \\
  
-=== Produktivföderation und eduGAIN ===+=== Produktivföderation (DFN-AAI, DFN-AAI-Basic) und eduGAIN ===
  
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
Zeile 73: Zeile 76:
 \\ \\
  
-=== Ausschließlich DFN-AAI Advanced ===+=== Ausschließlich IdPs aus DFN-AAI Advanced ===
 (Zur Unterscheidung zwischen "Advanced" und "Basic" siehe die Erläuterungen zu den [[de:degrees_of_reliance|Verlässlichkeitsklassen]]) (Zur Unterscheidung zwischen "Advanced" und "Basic" siehe die Erläuterungen zu den [[de:degrees_of_reliance|Verlässlichkeitsklassen]])
  
Zeile 98: Zeile 101:
 ===== Weitere Hinweise und bekannte Probleme ===== ===== Weitere Hinweise und bekannte Probleme =====
 **Allgemein:** \\ **Allgemein:** \\
-Sofern in der Metadata Provider Konfiguration weitere, 'statische' (üblicherweise ''MetadataProvider'' definiert sind, sollte das MDQ-/DynamicHTTPMetadataProvider ''MetadataProvider''-Element ganz am Ende eingefügt werden. Ansonsten führt der IdP/SP jedes Mal eine Metadata Query aus, auch wenn die betreffende Entity bereits über die statischen Metadaten verfügbar ist.+Sofern in der Metadata Provider Konfiguration weitere, 'statische' (z.B. ''FileBackedHTTPMetadataProvider''''MetadataProvider'' definiert sind, sollten ''MetadataProvider''-Elemente des Typs das ''MDQ'' bzw. ''DynamicHTTPMetadataProvider'' ganz am Ende eingefügt werden. Ansonsten führt der IdP/SP jedes Mal eine Metadata Query aus, auch wenn die betreffende Entity bereits über die statischen Metadaten verfügbar ist. 
 + 
 +**Shibboleth IdP:** \\ 
 +Bei nicht erfolgreichen Metadata Queries erscheint eine Warnung im Log: ''Document root was not an EntityDescriptor: org.opensaml.saml.saml2.metadata.impl.EntitiesDescriptorImpl''
  
 **Shibboleth SP < 3.2.0:** \\ **Shibboleth SP < 3.2.0:** \\
 Im SP-Log erscheint nach jedem Neustart die irreführende Warnung, dass das Caching-Verzeichnis nicht nicht angelegt werden kann. Es existiert bereits. Siehe https://issues.shibboleth.net/jira/browse/SSPCPP-916 Im SP-Log erscheint nach jedem Neustart die irreführende Warnung, dass das Caching-Verzeichnis nicht nicht angelegt werden kann. Es existiert bereits. Siehe https://issues.shibboleth.net/jira/browse/SSPCPP-916
 +
 +**Sonstige Fehler** bitte an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] melden.
  
 \\ \\
  • Zuletzt geändert: vor 4 Monaten