Dies ist eine alte Version des Dokuments!
Metadata Query Service (MDQ)
Pilotbetrieb - Nutzung auf eigene Gefahr!
Der Metadata Query Service befindet sich erst im Pilotbetrieb. Der DFN-Verein übernimmt keinerlei Gewähr hinsichtlich Verfügbarkeit, Fehlerfreiheit und Stablilität dieses Services. Erfahrungsberichte und Fehlermeldungen nimmt gerne das Team der DFN-AAI entgegen: hotline@aai.dfn.de.Erläuterungen
Parameter
URL für die Metadaten der Produktivföderation und eduGAIN:
http(s)://mdq.aai.dfn.de
URL für die Metadaten der Produktivföderation:
http(s)://mdq-test.aai.dfn.de
Zertifikat zur Überprüfung der Signatur der DFN-AAI MDQ Metadaten (PEM-Format)
SHA256 Fingerprint: 73:5B:9E:76:8A:A6:33:73:4D:3E:C6:D2:1E:98:B3:D9:03:74:B9:87:16:52:16:53:32:26:9A:B2:55:FC:CA:D2
https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-mdq.pem
Konfigurationsbeispiele
Shibboleth IdP 4.x
Produktivföderation und eduGAIN
- ./conf/metadata-providers.xml
<MetadataProvider id="dfn_aai_mdq_prod" xsi:type="DynamicHTTPMetadataProvider" maxCacheDuration="PT1H" minCacheDuration="PT10M"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="/etc/ssl/aai/dfn-aai-mdq.pem"/> <MetadataQueryProtocol>http://mdq.aai.dfn.de</MetadataQueryProtocol> </MetadataProvider>
Testföderation
- ./conf/metadata-providers.xml
<MetadataProvider id="dfn_aai_mdq_test" xsi:type="DynamicHTTPMetadataProvider" maxCacheDuration="PT1H" minCacheDuration="PT10M"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="/etc/ssl/aai/dfn-aai-mdq.pem"/> <MetadataQueryProtocol>http://mdq-test.aai.dfn.de</MetadataQueryProtocol> </MetadataProvider>
Sonstige Filtermöglichkeiten werden gerne auf Anfrage dokumentiert.
Shibboleth SP 3.2.x
Wichtiger Hinweis
Der Metadaten-Import via Metadata Query macht nur dann Sinn, wenn der Service Provider keinen Discovery Service verwendet, dessen IdP-Liste aus den importierten Föderationmetadaten generiert wird, wie beispielsweise den Shibboleth EDS.
Produktivföderation und eduGAIN
- /etc/shibboleth/shibboleth2.xml
<MetadataProvider type="MDQ" id="dfn_aai_mdq_prod" ignoreTransport="true" cacheDirectory="mdq-aai-dfn-de" maxCacheDuration="3600" minCacheDuration="600" baseUrl="https://mdq.aai.dfn.de"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai-mdq.pem"/> </MetadataProvider>
Ausschließlich DFN-AAI Advanced
(Zur Unterscheidung zwischen „Advanced“ und „Basic“ siehe die Erläuterungen zu den Verlässlichkeitsklassen)
Wichtig: damit der u.g. Filter funktioniert, muss im Root-Element SPConfig
der Datei shibboleth2.xml
der Namespace xmlns:saml=„urn:oasis:names:tc:SAML:2.0:assertion“
gesetzt sein.
- /etc/shibboleth/shibboleth2.xml
<MetadataProvider type="MDQ" id="dfn_aai_mdq_advanced_only" ignoreTransport="true" cacheDirectory="mdq-aai-dfn-de" maxCacheDuration="3600" minCacheDuration="600" baseUrl="https://mdq.aai.dfn.de"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai-mdq.pem"/> <MetadataFilter type="Include" matcher="EntityAttributes"> <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml:AttributeValue>advanced</saml:AttributeValue> </saml:Attribute> </MetadataFilter> </MetadataProvider>
Weitere Filtermöglichkeiten werden gerne auf Anfrage dokumentiert.
Bekannte Probleme
gibt es, ja
Referenzen
- Shibboleth Wiki
- Ausführliche Doku im InCommon Wiki (US-Föderation)