Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:discovery [2020/04/22 10:59] Silke Meyerde:discovery [2024/02/13 09:26] (aktuell) – [WAYFless URLs] Wolfgang Pempe
Zeile 12: Zeile 12:
   * Ersetzen eines Discovery Service durch harte Verdrahtung eines Identity Providers   * Ersetzen eines Discovery Service durch harte Verdrahtung eines Identity Providers
  
-===== Der zentrale Discovery Service des DFN-Verein ===== +===== Die zentralen Discovery Services des DFN-Verein =====
- +
-Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI (Advanced), DFN-AAI-Basic, DFN-AAI-Test und eduGAIN.+
  
 +Wir betreiben öffentliche Discovery Services, die von SP-Betreiber*innen eingebunden werden können. Ihre Informationen über die IdPs beziehen sie aus den aktuellen Metadatensätzen von DFN-AAI, DFN-AAI-Test und eduGAIN. 
 +  * Die Einbindung an produktiven Shibboleth Service Providern ist bei [[de:production#discovery_service|Produktivbetrieb]] dokumentiert.
 +  * [[https://simplesamlphp.org/docs/stable/saml:sp|Dokumentation für SimpleSAMLphp SPs]], siehe Parameter ''discoURL''
 +  * Für den Discovery Service in der Testföderation verwenden Sie bitte den URL ''https://wayf.aai.dfn.de/DFN-AAI-Test/wayf''.
 ===== Embedded Discovery Service ===== ===== Embedded Discovery Service =====
  
Zeile 22: Zeile 24:
 Ein Embedded Discovery Service ist **benutzerfreundlicher** als die Weiterleitung auf einen zentralen Discovery Service: Ein Embedded Discovery Service ist **benutzerfreundlicher** als die Weiterleitung auf einen zentralen Discovery Service:
   * Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt.   * Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt.
-  * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Blackoder Whitelisting filtern, welche Heimateinrichtungen zur Auswahl stehen. Daher empfehlen wir den Einsatz eines EDS bei SPs, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen. +  * Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Einund Ausschlussregeln filtern, welche Heimateinrichtungen zur Auswahl stehen. Daher empfehlen wir den Einsatz eines EDS bei SPs, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen. 
  
-Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] beschrieben.+Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth SP]] beschrieben. Hintergrundinformationen zum EDS finden Sie im [[https://wiki.shibboleth.net/confluence/display/EDS10/Embedded+Discovery+Service|Shibboleth Wiki]].
  
 ===== WAYFless URLs ===== ===== WAYFless URLs =====
  
-Die harte Verdrahtung des SP mit einem bestimmten ist streng genommen kein IdP-Feature, sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s.+Die harte Verdrahtung des SP mit einem bestimmten Identity-Provider ist streng genommen kein IdP-Feature, sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s. Bei WAYFless URLs wird vom SP aus direkt ein Authentication Request bei einem bestimmten IdP ausgelöst.
  
 Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt: Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt:
   * [[https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf|Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal]]. Dort wird das Thema sehr ausführlich behandelt.   * [[https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf|Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal]]. Dort wird das Thema sehr ausführlich behandelt.
-  * [[https://spaces.internet2.edu/display/inclibrary/Best+Practices|Best Practice-Empfehlungen der US-Föderation InCommon+  * [[https://spaces.internet2.edu/display/inclibrary/Best+Practices|Best Practice-Empfehlungen der US-Föderation InCommon]]
  
 Einige Anbieter haben dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können: Einige Anbieter haben dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können:
-  * [[https://www.conf.dfn.de/beschreibung-des-dienstes/aai-freischaltung/|DFNconf und DFN-Webconf]] +  * [[https://www.conf.dfn.de/anleitungen-und-dokumentation/dfnconf-portal/aai-freischaltung|DFNconf und DFN-Webconf]]  
-  * [[https://www.elsevier.com/solutions/sciencedirect/support/federated-authentication-through-saml|Elsevier für ScienceDirect]] +  * [[https://service.elsevier.com/app/answers/detail/a_id/28537/supporthub/elsevieraccess/|Elsevier]] 
-  * [[https://springeronlineservice.freshdesk.com/support/solutions/articles/6000085989-what-is-a-wayfless-url-|Springer Online]]+  * [[https://idp.nature.com/help/sso#wayfless|Springer Nature]]
   * [[https://www.ukfederation.org.uk/content/Documents/AvailableServices|Liste von Anbietern in der UK-Föderation]], anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist   * [[https://www.ukfederation.org.uk/content/Documents/AvailableServices|Liste von Anbietern in der UK-Föderation]], anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist
  
Zeile 54: Zeile 56:
 wobei ''<AUTH_ID>'' der Name bzw. die ID der betreffenden Authentication Source (Typ: ''saml:SP'') ist, üblicherweise ''default-sp''. wobei ''<AUTH_ID>'' der Name bzw. die ID der betreffenden Authentication Source (Typ: ''saml:SP'') ist, üblicherweise ''default-sp''.
  
- +{{tag>wayf discovery eds}}
- +
- +
- +
-  * [[https://wiki.shibboleth.net/confluence/display/SHIB2/DiscoveryService|Dokumentation im Shibboleth Wiki]] +
-  * Zentrale, vom DFN betriebene Instanzen (zur Integration im Shibboleth SP siehe [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPServiceSSO|Doku im Shib Wiki]] - für simpleSAMLphp siehe [[https://simplesamlphp.org/docs/stable/saml:sp|hier]], Parameter ''discoURL''): +
-    * URL für die Testföderation: https://wayf.aai.dfn.de/DFN-AAI-Test/wayf +
-    * Diverse Instanzen für den [[de:production#discovery_service|Produktivbetrieb, siehe dort]] +
-  * [[de:shibsp#shibboleth_eds_embedded_discovery_service|Shibboleth Embedded Discovery Service]] +
- +
-{{tag>wayf discovery fixme}}+
  • Zuletzt geändert: vor 4 Jahren