Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:discovery [2017/06/12 15:55] – Wolfgang Pempe
+++ de:discovery [2021/03/04 09:07] – Silke Meyer
@@ Zeile 1: / Zeile 1: @@
-====== Discovery / Einrichtungsauswahl ======
+====== Discovery ======
-  * Zentrale, vom DFN betriebene Instanzen:
-    * Testföderation: https://wayf.aai.dfn.de/DFN-AAI-Test/wayf
+<callout color="#ff9900" title="Discovery?">
-    * Diverse Instanzen für den [[de:production#discovery_service|Produktivbetrieb, siehe dort]]
+A Discovery Service is the software that lets users choose their home organization. It redirects them to their identity Provider.
-  * [[de:shibeds|Shibboleth Embedded Discovery Service]]
+</callout>
-  * [[de:shibwayfless|WAYFless URLs]]
+A Discovery Service is also known as "WAYF" - "Where are you from?". It establishes the connection between a Service Provider and an Identity Provider via a browser-based selection of the home organization.
+There are three ways Discovery can be realized:
+  * An SP is configured to redirect to a central public Discovery Service, e.g. one that is run by a federation operator.
+  * An SP runs an Embedded Discovery Service itself.
+  * An SP is configured to redirect to one static Identity Provider (no Discovery Service in the proper sense).
+===== DFN's central Discovery Services =====
+We run public Discovery Services that can be used by SP operators. These Discovery Services fetch information about available IdPs from the current metadata for DFN-AAI (Advanced), DFN-AAI-Basic, DFN-AAI-Test, and eduGAIN.
+  * For Shibboleth SPs, the integration is documented on the page about [[en:production#discovery_service|Production]].
+  * For SimpleSAMLphp SPs, please refer to their [[https://simplesamlphp.org/docs/stable/saml:sp|documentation]], parameter ''discoURL''.
+  * To use the Discovery Service in our test federation, please use the URL ''https://wayf.aai.dfn.de/DFN-AAI-Test/wayf''.
+===== Embedded Discovery Service =====
+Ein Embedded Discovery Service (EDS) wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten, um eine aktuelle Liste der IdPs zu bekommen.
+Ein Embedded Discovery Service ist **benutzerfreundlicher** als die Weiterleitung auf einen zentralen Discovery Service:
+  * Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt.
+  * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Black- oder Whitelisting filtern, welche Heimateinrichtungen zur Auswahl stehen. Daher empfehlen wir den Einsatz eines EDS bei SPs, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen.
+Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] beschrieben. Hintergrundinformationen zum EDS finden Sie im [[https://wiki.shibboleth.net/confluence/display/EDS10/Embedded+Discovery+Service|Shibboleth Wiki]].
+===== WAYFless URLs =====
+Die harte Verdrahtung des SP mit einem bestimmten ist streng genommen kein IdP-Feature, sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s. Bei WAYFless URLs wird vom SP aus direkt ein Authentication Request bei einem bestimmten IdP ausgelöst.
+Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt:
+  * [[https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf|Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal]]. Dort wird das Thema sehr ausführlich behandelt.
+  * [[https://spaces.internet2.edu/display/inclibrary/Best+Practices|Best Practice-Empfehlungen der US-Föderation InCommon]]
+Einige Anbieter haben dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können:
+  * [[https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/|DFNconf und DFN-Webconf]]
+  * [[https://www.elsevier.com/solutions/sciencedirect/support/federated-authentication-through-saml|Elsevier für ScienceDirect]]
+  * [[https://springeronlineservice.freshdesk.com/support/solutions/articles/6000085989-what-is-a-wayfless-url-|Springer Online]]
+  * [[https://www.ukfederation.org.uk/content/Documents/AvailableServices|Liste von Anbietern in der UK-Föderation]], anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist
+==== Konfiguration am Shibboleth SP ====
+Bei einem Shibboleth SP hat ein WAYFless URL in der Regel die Form:
+  https://<FQDN_SP_HOST>/Shibboleth.sso/Login?entityID=<ENTITYID_IDP>&target=<RESOURCE-LOCATION>
+wobei ''<RESOURCE-LOCATION>'' der vom SP geschützte URL ist.
+==== Konfiguration in SimpleSAMLphp ====
+Bei simpleSAMLphp sieht ein solcher URL standardmäßig wie folgt aus:
+  https://<FQDN_SP_HOST>/simplesaml/module.php/core/as_login.php?AuthId=<AUTH_ID>&ReturnTo=<RESOURCE-LOCATION>&saml:idp=<ENTITYID_IDP>
+wobei ''<AUTH_ID>'' der Name bzw. die ID der betreffenden Authentication Source (Typ: ''saml:SP'') ist, üblicherweise ''default-sp''.
+{{tag>wayf discovery eds}}

wayf discovery eds