Shibboleth IdP für Einsteiger*innen

Hier finden Sie Aufzeichnungen unserer Schulung „Shibboleth IdP für Einsteiger*innen“.

Zum Einstieg empfehlen wir den Vortrag „Einführung in die DFN-AAI“. Die Themen:

• Was ist die DFN-AAI?
• Was geschieht bei einem föderierten Loginvorgang?
• Metadaten und SAML2
• Was ist ein Discovery Service und welche Möglichkeiten gibt es, einen zu betreiben?
• eduGAIN - internationales Föderieren

Der zweite Teil ist der Vortrag mit dem Titel „Attribute: Schemata, Generierung, Übertragung und Verarbeitung am SP“. Hier hangeln wir uns einmal durch das Thema Attribute:

• Wie bezieht der IdP Informationen aus einem Nutzerverzeichnis?
• Wie definiert man IdP-intern neue Attribute mit diesen Informationen und welche Arten von Attributen kann es geben?
• Wie filtert man, welcher SP welche Attribute bekommen soll?
• Wie werden die Attribute an einen SP übermittelt und dort aufgenommen?

Für den praktischen Teil der Schulung laden Sie sich bitte unsere Schulungs-VM herunter. Darin finden Sie eine komplett vorbereitete Linux-Umgebung mit einem vorkonfigurierten Tomcat, Apache und LDAP. Installieren Sie in der VM den Shibboleth IdP mit der speziell für diese VM erstellten Anleitung. Die VM ist ein in sich geschlossenes System mit zwei Test-SPs. Die Anbindung an eine echte Föderation, z.B. DFN-AAI-Test, kann in der VM nicht durchgeführt werden.

Im unteren Teil der Anleitung finden Sie Übungen. Sie können selbst tüfteln und sich dann die Lösungen anschauen. In den folgenden Screencasts sehen Sie, wie die Übungen gelöst werden und sehen jeweils in den Logdateien, wie Sie die Resultate überprüfen.

Hier werden die wichtigsten Konfigurationsdateien oder Ordner der neu installierten Shibboleth-Instanz zusammengefasst:

In dieser Übung sehen Sie, wie man ein Update von Shibboleth 4.0.0. auf 4.0.1 ausführt:

Hier sehen Sie, wie das Loglevel des IdP auf DEBUG erhöht wird und wie das Log dann aussieht:

Hier sehen Sie, wie Sie im IdP 4.x die nicht mitgelieferten Transcoding-Regeln für die Attribute aus unserem dfnEduPerson-Schema importieren:

Hier sehen Sie, wie das Attribut eduPersonScopedAffiliation neu definiert wird. Statt dem LDAP wird als Attributquelle das Attribut eduPersonAffiliation verwendet:

In dieser Übung werden unterschiedliche Filterregeln für die zwei Service Provider in der Schulungs-VM erstellt.

Hier sehen Sie, wie man ein ScriptedAttribute für eduPersonEntitlement schreibt. Es bezieht die Werte ein, die für eduPersonAffiliation existieren und vergibt ein bestimmtes Entitlement auf Basis der Affiliation.

In dieser Übung sehen Sie, wie man bei Attributen, die mehrere Werte haben können, pro SP nur bestimmte Werte herausgibt.