Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:discovery [2020/04/22 09:26] – [Embedded Discovery Service] Silke Meyer
+++ de:discovery [2024/02/13 09:26] (aktuell) – [WAYFless URLs] Wolfgang Pempe
@@ Zeile 12: / Zeile 12: @@
   * Ersetzen eines Discovery Service durch harte Verdrahtung eines Identity Providers
-===== Der zentrale Discovery Service des DFN-Verein =====
+===== Die zentralen Discovery Services des DFN-Verein =====
-Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI (Advanced), DFN-AAI-Basic, DFN-AAI-Test und eduGAIN.
+Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI, DFN-AAI-Test und eduGAIN.
+  * Die Einbindung an produktiven Shibboleth Service Providern ist bei [[de:production#discovery_service|Produktivbetrieb]] dokumentiert.
+  * [[https://simplesamlphp.org/docs/stable/saml:sp|Dokumentation für SimpleSAMLphp SPs]], siehe Parameter ''discoURL''
+  * Für den Discovery Service in der Testföderation verwenden Sie bitte den URL ''https://wayf.aai.dfn.de/DFN-AAI-Test/wayf''.
 ===== Embedded Discovery Service =====
-Ein Embedded Discovery Service wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten, um eine aktuelle Liste der IdPs zu bekommen.
+Ein Embedded Discovery Service (EDS) wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten, um eine aktuelle Liste der IdPs zu bekommen.
 Ein Embedded Discovery Service ist **benutzerfreundlicher** als die Weiterleitung auf einen zentralen Discovery Service:
   * Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt.
-  * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. Deshalb empfehlen wir vor allem
+  * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Ein- und Ausschlussregeln filtern, welche Heimateinrichtungen zur Auswahl stehen. Daher empfehlen wir den Einsatz eines EDS bei SPs, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen.
-Bei Service Providern, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen, ist ein Embedded Discovery Service zu empfehlen: Über Black- oder Whitelisting können dort nämlich die relevanten IdPs aus der Liste aller an der Föderation teilnehmenden IdPs herausgefiltert werden. Dies ist benutzerfreundlicher als ein zentraler Discovery Service:
+Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] beschrieben. Hintergrundinformationen zum EDS finden Sie im [[https://wiki.shibboleth.net/confluence/display/EDS10/Embedded+Discovery+Service|Shibboleth Wiki]].
-Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] beschrieben.
 ===== WAYFless URLs =====
-Diese sind streng genommen kein IdP-Feature, fallen aber häufig in den Zuständigkeitsbereich eines IdP-Admins.
+Die harte Verdrahtung des SP mit einem bestimmten Identity-Provider ist streng genommen kein IdP-Feature, sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s. Bei WAYFless URLs wird vom SP aus direkt ein Authentication Request bei einem bestimmten IdP ausgelöst.
-Es existieren zwar Empfehlungen zum Erstellen von WAYFless URLs, die existierenden Implementierungen sind jedoch häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Die einzige uns bekannte grössere Sammlung von Informationen dazu gibt es bei der UK Federation: https://www.ukfederation.org.uk/content/Documents/AvailableServices \\
+Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt:
-Dort ist auch ein PDF-Dokument verlinkt ([[https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf|Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal]]) in dem das Thema WAYFless URLs sehr ausführlich behandelt wird, \\
+  * [[https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf|Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal]]. Dort wird das Thema sehr ausführlich behandelt.
-Weiterhin sei auf die Best Practice Empfehlungen von InCommon (US-Föderation) verwiesen:
+  * [[https://spaces.internet2.edu/display/inclibrary/Best+Practices|Best Practice-Empfehlungen der US-Föderation InCommon]]
-https://spaces.internet2.edu/display/inclibrary/Best+Practices
-Einige Anbieter haben auch selbst dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können:
+Einige Anbieter haben dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können:
+  * [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung|DFNconf und DFN-Webconf]]
-  * DFNconf und DFN-Webconf: https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/
+  * [[https://service.elsevier.com/app/answers/detail/a_id/28537/supporthub/elsevieraccess/|Elsevier]]
-  * Elsevier für ScienceDirect: https://www.elsevier.com/solutions/sciencedirect/support/federated-authentication-through-saml
+  * [[https://idp.nature.com/help/sso#wayfless|Springer Nature]]
-  * [[https://springeronlineservice.freshdesk.com/support/solutions/articles/6000085989-what-is-a-wayfless-url-|Springer Online]]
+  * [[https://www.ukfederation.org.uk/content/Documents/AvailableServices|Liste von Anbietern in der UK-Föderation]], anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist
-  * Anbieter in der UK-Federation, anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist: https://www.ukfederation.org.uk/content/Documents/AvailableServices
 ==== Konfiguration am Shibboleth SP ====
@@ Zeile 58: / Zeile 56: @@
 wobei ''<AUTH_ID>'' der Name bzw. die ID der betreffenden Authentication Source (Typ: ''saml:SP'') ist, üblicherweise ''default-sp''.
+{{tag>wayf discovery eds}}
-  * [[https://wiki.shibboleth.net/confluence/display/SHIB2/DiscoveryService|Dokumentation im Shibboleth Wiki]]
-  * Zentrale, vom DFN betriebene Instanzen (zur Integration im Shibboleth SP siehe [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPServiceSSO|Doku im Shib Wiki]] - für simpleSAMLphp siehe [[https://simplesamlphp.org/docs/stable/saml:sp|hier]], Parameter ''discoURL''):
-    * URL für die Testföderation: https://wayf.aai.dfn.de/DFN-AAI-Test/wayf
-    * Diverse Instanzen für den [[de:production#discovery_service|Produktivbetrieb, siehe dort]]
-  * [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth Embedded Discovery Service]]
-{{tag>wayf discovery fixme}}

wayf discovery eds