Dies ist eine alte Version des Dokuments!
Einrichtungsauswahl / Discovery
Discovery?
Der Discovery Service ist die Stelle, an der Nutzer*innen auswählen, von welcher Heimateinrichtung sie kommen, zu welchem Identity Provider sie umgeleitet werden möchten.Das Prinzip Discovery Service wird auch „WAYF“ genannt - „Where are you from?“. Mit einer Browser-gestützten Auswahl der Heimateinrichtung wird die Verbindung zwischen Service Provider und Identity Provider hergestellt.
Es gibt drei Varianten des Discovery Service:
- Einbinden einer zentralen Discovery Service am SP. Ein zentraler Discovery Service kann z.B. vom Föderationsbetreiber zur Verfügung gestellt werden.
- Betrieb eines Embedded Discovery Service direkt am SP
- Ersetzen eines Discovery Service durch harte Verdrahtung eines Identity Providers
Der zentrale Discovery Service des DFN-Verein
Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI (Advanced), DFN-AAI-Basic, DFN-AAI-Test und eduGAIN.
Embedded Discovery Service
Ein Embedded Discovery Service wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten, um eine aktuelle Liste der IdPs zu bekommen.
Bei Service Providern, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen, ist ein Embedded Discovery Service zu empfehlen: Über Black- oder Whitelisting können dort nämlich die relevanten IdPs aus der Liste alle an der Föderation teilnehmenden IdPs herausgefiltert werden. Dies ist benutzerfreundlicher als ein zentraler Discovery Service, weil niemandem suggeriert wird, sich
WAYFless URLs
Diese sind streng genommen kein IdP-Feature, fallen aber häufig in den Zuständigkeitsbereich eines IdP-Admins.
Es existieren zwar Empfehlungen zum Erstellen von WAYFless URLs, die existierenden Implementierungen sind jedoch häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Die einzige uns bekannte grössere Sammlung von Informationen dazu gibt es bei der UK Federation: https://www.ukfederation.org.uk/content/Documents/AvailableServices
Dort ist auch ein PDF-Dokument verlinkt (Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal) in dem das Thema WAYFless URLs sehr ausführlich behandelt wird,
Weiterhin sei auf die Best Practice Empfehlungen von InCommon (US-Föderation) verwiesen:
https://spaces.internet2.edu/display/inclibrary/Best+Practices
Einige Anbieter haben auch selbst dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können:
- DFNconf und DFN-Webconf: https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/
- Elsevier für ScienceDirect: https://www.elsevier.com/solutions/sciencedirect/support/federated-authentication-through-saml
- Anbieter in der UK-Federation, anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist: https://www.ukfederation.org.uk/content/Documents/AvailableServices
Konfiguration am Shibboleth SP
Bei einem Shibboleth SP hat ein WAYFless URL in der Regel die Form:
https://<FQDN_SP_HOST>/Shibboleth.sso/Login?entityID=<ENTITYID_IDP>&target=<RESOURCE-LOCATION>
wobei <RESOURCE-LOCATION> der vom SP geschützte URL ist.
Konfiguration in SimpleSAMLphp
Bei simpleSAMLphp sieht ein solcher URL standardmäßig wie folgt aus:
https://<FQDN_SP_HOST>/simplesaml/module.php/core/as_login.php?AuthId=<AUTH_ID>&ReturnTo=<RESOURCE-LOCATION>&saml:idp=<ENTITYID_IDP>
wobei <AUTH_ID> der Name bzw. die ID der betreffenden Authentication Source (Typ: saml:SP) ist, üblicherweise default-sp.
- Zentrale, vom DFN betriebene Instanzen (zur Integration im Shibboleth SP siehe Doku im Shib Wiki - für simpleSAMLphp siehe hier, Parameter
discoURL):- URL für die Testföderation: https://wayf.aai.dfn.de/DFN-AAI-Test/wayf
- Diverse Instanzen für den Produktivbetrieb, siehe dort