Dies ist eine alte Version des Dokuments!

Metadata Query Service (MDQ)

Pilotbetrieb - Nutzung auf eigene Gefahr!

Der Metadata Query Service befindet sich erst im Pilotbetrieb. Der DFN-Verein übernimmt keinerlei Gewähr hinsichtlich Verfügbarkeit, Fehlerfreiheit und Stablilität dieses Services. Erfahrungsberichte und Fehlermeldungen nimmt gerne das Team der DFN-AAI entgegen: hotline@aai.dfn.de.

Erläuterungen

Parameter

URL für die Metadaten der Produktivföderation und eduGAIN: 

http(s)://mdq.aai.dfn.de

URL für die Metadaten der Produktivföderation: 

http(s)://mdq-test.aai.dfn.de

Zertifikat zur Überprüfung der Signatur der DFN-AAI MDQ Metadaten (PEM-Format)
SHA256 Fingerprint: 73:5B:9E:76:8A:A6:33:73:4D:3E:C6:D2:1E:98:B3:D9:03:74:B9:87:16:52:16:53:32:26:9A:B2:55:FC:CA:D2
https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-mdq.pem


Konfigurationsbeispiele

Shibboleth IdP 4.x

Produktivföderation und eduGAIN

./conf/metadata-providers.xml
    <MetadataProvider id="dfn_aai_mdq_prod" xsi:type="DynamicHTTPMetadataProvider"
                  maxCacheDuration="PT1H" minCacheDuration="PT10M">
           <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                  certificateFile="/etc/ssl/aai/dfn-aai-mdq.pem"/>
           <MetadataQueryProtocol>http://mdq.aai.dfn.de</MetadataQueryProtocol>
    </MetadataProvider>

Testföderation

./conf/metadata-providers.xml
    <MetadataProvider id="dfn_aai_mdq_test" xsi:type="DynamicHTTPMetadataProvider"
                  maxCacheDuration="PT1H" minCacheDuration="PT10M">
           <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                  certificateFile="/etc/ssl/aai/dfn-aai-mdq.pem"/>
           <MetadataQueryProtocol>http://mdq-test.aai.dfn.de</MetadataQueryProtocol>
    </MetadataProvider>

Sonstige Filtermöglichkeiten werden gerne auf Anfrage dokumentiert.


Shibboleth SP 3.2.x

Wichtiger Hinweis

Der Metadaten-Import via Metadata Query macht nur dann Sinn, wenn der Service Provider keinen Discovery Service verwendet, dessen IdP-Liste aus den importierten Föderationmetadaten generiert wird, wie beispielsweise den Shibboleth EDS.


Produktivföderation und eduGAIN

/etc/shibboleth/shibboleth2.xml
    <MetadataProvider type="MDQ" id="dfn_aai_mdq_prod" ignoreTransport="true"
                  cacheDirectory="mdq-aai-dfn-de"
                  maxCacheDuration="3600" minCacheDuration="600"
                  baseUrl="https://mdq.aai.dfn.de">
           <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai-mdq.pem"/>
    </MetadataProvider>


Ausschließlich DFN-AAI Advanced

(Zur Unterscheidung zwischen „Advanced“ und „Basic“ siehe die Erläuterungen zu den Verlässlichkeitsklassen)

Wichtig: damit der u.g. Filter funktioniert, muss im Root-Element SPConfig der Datei shibboleth2.xml der Namespace xmlns:saml=„urn:oasis:names:tc:SAML:2.0:assertion“ gesetzt sein.

/etc/shibboleth/shibboleth2.xml
    <MetadataProvider type="MDQ" id="dfn_aai_mdq_advanced_only" ignoreTransport="true"
                  cacheDirectory="mdq-aai-dfn-de"
                  maxCacheDuration="3600" minCacheDuration="600"
                  baseUrl="https://mdq.aai.dfn.de">
           <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai-mdq.pem"/>
           <MetadataFilter type="Include" matcher="EntityAttributes">
               <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
                 <saml:AttributeValue>advanced</saml:AttributeValue>
               </saml:Attribute>
           </MetadataFilter>
    </MetadataProvider>

Weitere Filtermöglichkeiten werden gerne auf Anfrage dokumentiert.


Bekannte Probleme

gibt es, ja


Referenzen

, ,
  • Zuletzt geändert: vor 3 Jahren