Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:discovery [2017/06/12 16:03] – Wolfgang Pempe | de:discovery [2020/04/22 11:10] – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== Einrichtungsauswahl |
- | * [[https://wiki.shibboleth.net/confluence/display/SHIB2/DiscoveryService|Dokumentation im Shibboleth Wiki]] | + | |
- | * Zentrale, vom DFN betriebene Instanzen \\ | + | <callout color="# |
- | (zur Integration im Shibboleth SP siehe [[https:// | + | Der Discovery Service ist die Stelle, an der Nutzer*innen auswählen, von welcher Heimateinrichtung sie kommen, zu welchem Identity Provider sie umgeleitet werden möchten. |
- | * Testföderation: | + | </ |
- | * Diverse Instanzen für den [[de:production# | + | |
- | * [[de:shibeds|Shibboleth Embedded Discovery Service]] | + | Das Prinzip Discovery Service wird auch " |
- | * [[de:shibwayfless|WAYFless URLs]] | + | |
+ | Es gibt drei Varianten des Discovery Service: | ||
+ | * Einbinden einer zentralen Discovery Service am SP. Ein zentraler Discovery Service kann z.B. vom Föderationsbetreiber zur Verfügung gestellt werden. | ||
+ | * Betrieb eines Embedded Discovery Service direkt am SP | ||
+ | * Ersetzen eines Discovery Service durch harte Verdrahtung eines Identity Providers | ||
+ | |||
+ | ===== Die zentralen Discovery Services des DFN-Verein ===== | ||
+ | |||
+ | Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI (Advanced), DFN-AAI-Basic, | ||
+ | |||
+ | FIXME für simpleSAMLphp siehe [[https://simplesamlphp.org/ | ||
+ | |||
+ | ===== Embedded Discovery Service ===== | ||
+ | |||
+ | Ein Embedded Discovery Service (EDS) wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten, | ||
+ | |||
+ | Ein Embedded Discovery Service ist **benutzerfreundlicher** als die Weiterleitung auf einen zentralen Discovery Service: | ||
+ | * Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt. | ||
+ | * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Black- oder Whitelisting filtern, welche Heimateinrichtungen | ||
+ | |||
+ | Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de: | ||
+ | |||
+ | ===== WAYFless URLs ===== | ||
+ | |||
+ | Die harte Verdrahtung des SP mit einem bestimmten ist streng genommen kein IdP-Feature, sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s. | ||
+ | |||
+ | Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt: | ||
+ | * [[https://www.ukfederation.org.uk/library/uploads/Documents/ | ||
+ | * [[https:// | ||
+ | |||
+ | Einige Anbieter haben dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können: | ||
+ | * [[https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/ | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | ==== Konfiguration am Shibboleth SP ==== | ||
+ | Bei einem Shibboleth SP hat ein WAYFless URL in der Regel die Form: | ||
+ | |||
+ | https://< | ||
+ | |||
+ | wobei ''< | ||
+ | |||
+ | ==== Konfiguration in SimpleSAMLphp ==== | ||
+ | Bei simpleSAMLphp sieht ein solcher URL standardmäßig wie folgt aus: | ||
+ | |||
+ | https://< | ||
+ | |||
+ | wobei ''< | ||
+ | |||
+ | {{tag> |