Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:discovery [2017/06/12 15:55]
Wolfgang Pempe
de:discovery [2020/04/23 14:22] (aktuell)
Silke Meyer
Zeile 1: Zeile 1:
-====== Discovery ​/ Einrichtungsauswahl ​====== +====== ​Einrichtungsauswahl / Discovery ====== 
-  Zentrale, vom DFN betriebene Instanzen+ 
-    Testföderation: https://​wayf.aai.dfn.de/​DFN-AAI-Test/​wayf +<callout color="#​ff9900"​ title="​Discovery?">​ 
-    Diverse Instanzen für den [[de:production#discovery_service|Produktivbetrieb,​ siehe dort]] +Der Discovery Service ist die Stelle, an der Nutzer*innen auswählenvon welcher Heimateinrichtung sie kommen, zu welchem Identity Provider sie umgeleitet werden möchten. 
-  * [[de:shibeds|Shibboleth Embedded Discovery ​Service]] +</​callout>​ 
-  * [[de:shibwayfless|WAYFless URLs]]+ 
 +Das Prinzip Discovery Service wird auch "​WAYF"​ genannt - "Where are you from?"​. Mit einer Browser-gestützten Auswahl der Heimateinrichtung wird die Verbindung zwischen Service Provider und Identity Provider hergestellt. 
 + 
 +Es gibt drei Varianten des Discovery Service: 
 +  * Einbinden einer zentralen Discovery Service am SP. Ein zentraler Discovery Service kann z.B. vom Föderationsbetreiber zur Verfügung gestellt werden. 
 +  * Betrieb eines Embedded Discovery Service direkt am SP 
 +  * Ersetzen eines Discovery Service durch harte Verdrahtung eines Identity Providers 
 + 
 +===== Die zentralen Discovery Services des DFN-Verein ===== 
 + 
 +Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI (Advanced), DFN-AAI-Basic,​ DFN-AAI-Test und eduGAIN.  
 +  * Die Einbindung an produktiven Shibboleth Service Providern ist bei [[de:production#​discovery_service|Produktivbetrieb]] dokumentiert. 
 +  [[https://​simplesamlphp.org/​docs/​stable/​saml:​sp|Dokumentation für SimpleSAMLphp SPs]], siehe Parameter ''​discoURL''​ 
 +  * Für den Discovery Service in der Testföderation verwenden Sie bitte den URL ''​https://​wayf.aai.dfn.de/​DFN-AAI-Test/​wayf''​. 
 +===== Embedded Discovery Service ===== 
 + 
 +Ein Embedded Discovery Service (EDS) wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten,​ um eine aktuelle Liste der IdPs zu bekommen. 
 + 
 +Ein Embedded Discovery Service ist **benutzerfreundlicher** als die Weiterleitung auf einen zentralen Discovery Service: 
 +  * Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt. 
 +  * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Black- oder Whitelisting filtern, welche Heimateinrichtungen zur Auswahl stehen. Daher empfehlen wir den Einsatz eines EDS bei SPs, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen.  
 + 
 +Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] beschrieben. Hintergrundinformationen zum EDS finden Sie im [[https://​wiki.shibboleth.net/​confluence/​display/​EDS10/​Embedded+Discovery+Service|Shibboleth Wiki]]. 
 + 
 +===== WAYFless URLs ===== 
 + 
 +Die harte Verdrahtung des SP mit einem bestimmten ist streng genommen kein IdP-Feature,​ sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s. Bei WAYFless URLs wird vom SP aus direkt ein Authentication Request bei einem bestimmten IdP ausgelöst. 
 + 
 +Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt: 
 +  * [[https://​www.ukfederation.org.uk/​library/​uploads/​Documents/​WAYFlessGuidance.pdf|Best Practice: WAYFless Access to Resources - Configuring on a Service ​and Using in a Portal]]. Dort wird das Thema sehr ausführlich behandelt. 
 +  * [[https://​spaces.internet2.edu/​display/​inclibrary/​Best+Practices|Best Practice-Empfehlungen der US-Föderation InCommon]] 
 + 
 +Einige Anbieter haben dokumentiert,​ wie WAYFless URLs für ihre Plattform erzeugt werden können: 
 +  * [[https://​www.conf.dfn.de/​beschreibung-des-dienstes/​aai-freischaltung/​|DFNconf und DFN-Webconf]] 
 +  * [[https://​www.elsevier.com/​solutions/​sciencedirect/​support/​federated-authentication-through-saml|Elsevier für ScienceDirect]] 
 +  * [[https://​springeronlineservice.freshdesk.com/​support/​solutions/​articles/​6000085989-what-is-a-wayfless-url-|Springer Online]] 
 +  * [[https://​www.ukfederation.org.uk/​content/​Documents/​AvailableServices|Liste von Anbietern in der UK-Föderation]],​ anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist 
 + 
 +==== Konfiguration am Shibboleth SP ==== 
 +Bei einem Shibboleth SP hat ein WAYFless URL in der Regel die Form: 
 + 
 +  https://<​FQDN_SP_HOST>/​Shibboleth.sso/​Login?​entityID=<​ENTITYID_IDP>&​target=<​RESOURCE-LOCATION>​ 
 + 
 +wobei ''<​RESOURCE-LOCATION>''​ der vom SP geschützte URL ist. 
 + 
 +==== Konfiguration in SimpleSAMLphp ==== 
 +Bei simpleSAMLphp sieht ein solcher URL standardmäßig wie folgt aus: 
 + 
 +  https://<​FQDN_SP_HOST>/​simplesaml/​module.php/​core/​as_login.php?​AuthId=<​AUTH_ID>&​ReturnTo=<​RESOURCE-LOCATION>&​saml:​idp=<​ENTITYID_IDP>​ 
 + 
 +wobei ''<​AUTH_ID>''​ der Name bzw. die ID der betreffenden Authentication Source (Typ: ''​saml:​SP''​) ist, üblicherweise ''​default-sp''​. 
 + 
 +{{tag>​wayf discovery eds}}
  • Zuletzt geändert: vor 3 Jahren