Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:discovery [2017/06/12 16:03] – Wolfgang Pempe
+++ de:discovery [2021/03/04 09:20] – Silke Meyer
@@ Zeile 1: / Zeile 1: @@
-====== Discovery / Einrichtungsauswahl ======
+====== Discovery ======
-  * [[https://wiki.shibboleth.net/confluence/display/SHIB2/DiscoveryService|Dokumentation im Shibboleth Wiki]]
-  * Zentrale, vom DFN betriebene Instanzen \\
+<callout color="#ff9900" title="Discovery?">
-    (zur Integration im Shibboleth SP siehe [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPServiceSSO|Doku im Shib Wiki]] - für simpleSAMLphp siehe [[https://simplesamlphp.org/docs/stable/saml:sp|hier]], Parameter ''discoURL''):
+A Discovery Service is the software that lets users choose their home organization. It redirects them to their identity Provider.
-    * Testföderation: https://wayf.aai.dfn.de/DFN-AAI-Test/wayf
+</callout>
-    * Diverse Instanzen für den [[de:production#discovery_service|Produktivbetrieb, siehe dort]]
-  * [[de:shibeds|Shibboleth Embedded Discovery Service]]
+A Discovery Service is also known as "WAYF" - "Where are you from?". It establishes the connection between a Service Provider and an Identity Provider via a browser-based selection of the home organization.
-  * [[de:shibwayfless|WAYFless URLs]]
+There are three ways Discovery can be realized:
+  * An SP is configured to redirect to a central public Discovery Service, e.g. one that is run by a federation operator.
+  * An SP runs an Embedded Discovery Service itself.
+  * An SP is configured to redirect to one static Identity Provider (no Discovery Service in the proper sense).
+===== DFN's central Discovery Services =====
+We run public Discovery Services that can be used by SP operators. These Discovery Services fetch information about available IdPs from the current metadata for DFN-AAI (Advanced), DFN-AAI-Basic, DFN-AAI-Test, and eduGAIN.
+  * For Shibboleth SPs, the integration is documented on the page about [[en:production#discovery_service|Production]].
+  * For SimpleSAMLphp SPs, please refer to their [[https://simplesamlphp.org/docs/stable/saml:sp|documentation]], parameter ''discoURL''.
+  * To use the Discovery Service in our test federation, please use the URL ''https://wayf.aai.dfn.de/DFN-AAI-Test/wayf''.
+===== Embedded Discovery Service =====
+An Embedded Discovery Service (EDS) is run locally on the SP. It also relies on federation metadata to get an up-to-date list of the available IdPs.
+In many cases, an EDS is more **user-friendly** than redirection to a central Discovery Service:
+  * The selection of home organizations can be designed in the look and feel of the Service Provider. Users are not confused by being rediected to a site that looks completely different.
+  * Many SPs are not open to all IdPs in the federation because the SP operators only collaborate with a few home organizations. It can thus be misleading if users of other institutions can select their home organisation although they cannot log in to the service. With an Embedded Discovery Service, SP operators can filter the IdP list accordingly. Therefore, we recommend to run an EDS for Service Providers working with a limited amount of IdPs.
+Shibboleth SP comes with a Discovery Service: Shibboleth EDS. The configuration is described on the [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] page (in German). For background information please consult the [[https://wiki.shibboleth.net/confluence/display/EDS10/Embedded+Discovery+Service|Shibboleth Wiki]].
+===== WAYFless URLs =====
+Die harte Verdrahtung des SP mit einem bestimmten ist streng genommen kein IdP-Feature, sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s. Bei WAYFless URLs wird vom SP aus direkt ein Authentication Request bei einem bestimmten IdP ausgelöst.
+Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt:
+  * [[https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf|Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal]]. Dort wird das Thema sehr ausführlich behandelt.
+  * [[https://spaces.internet2.edu/display/inclibrary/Best+Practices|Best Practice-Empfehlungen der US-Föderation InCommon]]
+Einige Anbieter haben dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können:
+  * [[https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/|DFNconf und DFN-Webconf]]
+  * [[https://www.elsevier.com/solutions/sciencedirect/support/federated-authentication-through-saml|Elsevier für ScienceDirect]]
+  * [[https://springeronlineservice.freshdesk.com/support/solutions/articles/6000085989-what-is-a-wayfless-url-|Springer Online]]
+  * [[https://www.ukfederation.org.uk/content/Documents/AvailableServices|Liste von Anbietern in der UK-Föderation]], anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist
+==== Konfiguration am Shibboleth SP ====
+Bei einem Shibboleth SP hat ein WAYFless URL in der Regel die Form:
+  https://<FQDN_SP_HOST>/Shibboleth.sso/Login?entityID=<ENTITYID_IDP>&target=<RESOURCE-LOCATION>
+wobei ''<RESOURCE-LOCATION>'' der vom SP geschützte URL ist.
+==== Konfiguration in SimpleSAMLphp ====
+Bei simpleSAMLphp sieht ein solcher URL standardmäßig wie folgt aus:
+  https://<FQDN_SP_HOST>/simplesaml/module.php/core/as_login.php?AuthId=<AUTH_ID>&ReturnTo=<RESOURCE-LOCATION>&saml:idp=<ENTITYID_IDP>
+wobei ''<AUTH_ID>'' der Name bzw. die ID der betreffenden Authentication Source (Typ: ''saml:SP'') ist, üblicherweise ''default-sp''.
+{{tag>wayf discovery eds}}

wayf discovery eds