Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:discovery [2017/06/12 15:54] – Wolfgang Pempe | de:discovery [2021/03/04 09:32] – alte Version wiederhergestellt (2020/04/23 14:22) Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Discovery | + | ====== |
- | * Zentrale, vom DFN betriebene Instanzen: | + | |
- | * Testföderation: https:// | + | <callout color="# |
- | * Diverse Instanzen für den [[de:production#discovery_service|Produktivbetrieb, | + | Der Discovery Service ist die Stelle, an der Nutzer*innen auswählen, von welcher Heimateinrichtung sie kommen, zu welchem Identity Provider sie umgeleitet werden möchten. |
- | * [[de:shibeds|Shibboleth Embedded Discovery | + | </ |
- | * [[de:shibwayfless|WAYFless URLs]] | + | |
+ | Das Prinzip Discovery Service wird auch " | ||
+ | |||
+ | Es gibt drei Varianten des Discovery Service: | ||
+ | * Einbinden einer zentralen Discovery Service am SP. Ein zentraler Discovery Service kann z.B. vom Föderationsbetreiber zur Verfügung gestellt werden. | ||
+ | * Betrieb eines Embedded Discovery Service direkt am SP | ||
+ | * Ersetzen eines Discovery Service durch harte Verdrahtung eines Identity Providers | ||
+ | |||
+ | ===== Die zentralen Discovery Services des DFN-Verein ===== | ||
+ | |||
+ | Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI (Advanced), DFN-AAI-Basic, | ||
+ | * Die Einbindung an produktiven Shibboleth Service Providern ist bei [[de:production# | ||
+ | * [[https:// | ||
+ | * Für den Discovery Service in der Testföderation verwenden Sie bitte den URL '' | ||
+ | ===== Embedded Discovery Service ===== | ||
+ | |||
+ | Ein Embedded Discovery Service (EDS) wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten, | ||
+ | |||
+ | Ein Embedded Discovery Service ist **benutzerfreundlicher** als die Weiterleitung auf einen zentralen Discovery Service: | ||
+ | * Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt. | ||
+ | * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Black- oder Whitelisting filtern, welche Heimateinrichtungen zur Auswahl stehen. Daher empfehlen wir den Einsatz eines EDS bei SPs, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen. | ||
+ | |||
+ | Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] beschrieben. Hintergrundinformationen zum EDS finden Sie im [[https:// | ||
+ | |||
+ | ===== WAYFless URLs ===== | ||
+ | |||
+ | Die harte Verdrahtung des SP mit einem bestimmten ist streng genommen kein IdP-Feature, | ||
+ | |||
+ | Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt: | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | Einige Anbieter haben dokumentiert, | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | ==== Konfiguration am Shibboleth SP ==== | ||
+ | Bei einem Shibboleth SP hat ein WAYFless URL in der Regel die Form: | ||
+ | |||
+ | https://< | ||
+ | |||
+ | wobei ''< | ||
+ | |||
+ | ==== Konfiguration in SimpleSAMLphp ==== | ||
+ | Bei simpleSAMLphp sieht ein solcher URL standardmäßig wie folgt aus: | ||
+ | |||
+ | https://< | ||
+ | |||
+ | wobei ''< | ||
+ | |||
+ | {{tag> |