Dies ist eine alte Version des Dokuments!
Discovery
Discovery?
A Discovery Service is the software that lets users choose their home organization. It redirects them to their identity Provider.A Discovery Service is also known as „WAYF“ - „Where are you from?“. It establishes the connection between a Service Provider and an Identity Provider via a browser-based selection of the home organization.
There are three ways Discovery can be realized:
- An SP is configured to redirect to a central public Discovery Service, e.g. one that is run by a federation operator.
- An SP runs an Embedded Discovery Service itself.
- An SP is configured to redirect to one static Identity Provider (no Discovery Service in the proper sense).
DFN's central Discovery Services
We run public Discovery Services that can be used by SP operators. These Discovery Services fetch information about available IdPs from the current metadata for DFN-AAI (Advanced), DFN-AAI-Basic, DFN-AAI-Test, and eduGAIN.
- For Shibboleth SPs, the integration is documented on the page about Production.
- For SimpleSAMLphp SPs, please refer to their documentation, parameter
discoURL
. - To use the Discovery Service in our test federation, please use the URL
https://wayf.aai.dfn.de/DFN-AAI-Test/wayf
.
Embedded Discovery Service
Ein Embedded Discovery Service (EDS) wird lokal am SP betrieben. Er nutzt dort ebenfalls die eingelesenen Föderationsmetadaten, um eine aktuelle Liste der IdPs zu bekommen.
Ein Embedded Discovery Service ist benutzerfreundlicher als die Weiterleitung auf einen zentralen Discovery Service:
- Die Einrichtungsauswahl kann im Look and Feel des SPs gestaltet werden. Nutzer*innen werden nicht durch eine zusätzliche Weiterleitung auf eine ganz anders aussehende Seite verwirrt.
- Viele Service Provider stehen nicht allen IdPs der Föderation offen, sondern nur einem Teil. Wenn Nutzer*innen ihre Heimateinrichtung auswählen können, wird ihnen suggeriert, sich anmelden zu können, auch wenn das vielleicht gar nicht der Fall ist. In einem EDS können SP-Betreiber*innen über Black- oder Whitelisting filtern, welche Heimateinrichtungen zur Auswahl stehen. Daher empfehlen wir den Einsatz eines EDS bei SPs, die nur einer eingeschränkten Auswahl von IdPs zur Verfügung stehen.
Der Shibboleth SP bringt einen eigenen Discovery Service mit: Den Shibboleth EDS. Die Konfiguration haben wir auf der Seite zum Shibboleth SP beschrieben. Hintergrundinformationen zum EDS finden Sie im Shibboleth Wiki.
WAYFless URLs
Die harte Verdrahtung des SP mit einem bestimmten ist streng genommen kein IdP-Feature, sie fällt aber trotzdem häufig in den Zuständigkeitsbereich von IdP-Admin*s. Bei WAYFless URLs wird vom SP aus direkt ein Authentication Request bei einem bestimmten IdP ausgelöst.
Die Konfiguration von WAYFless URLs ist häufig SP-spezifisch. Ob WAYFless URLs für einen Anbieter möglich sind und wie diese URLs aussehen, hängt davon ab, wie der Anbieter den föderierten Loginprozess implementiert hat. Uns sind folgende Best Practice-Empfehlungen bekannt:
- Best Practice: WAYFless Access to Resources - Configuring on a Service and Using in a Portal. Dort wird das Thema sehr ausführlich behandelt.
Einige Anbieter haben dokumentiert, wie WAYFless URLs für ihre Plattform erzeugt werden können:
- Liste von Anbietern in der UK-Föderation, anwendbar auch für die DFN-AAI da die URL-Konfiguration föderationsunabhängig ist
Konfiguration am Shibboleth SP
Bei einem Shibboleth SP hat ein WAYFless URL in der Regel die Form:
https://<FQDN_SP_HOST>/Shibboleth.sso/Login?entityID=<ENTITYID_IDP>&target=<RESOURCE-LOCATION>
wobei <RESOURCE-LOCATION>
der vom SP geschützte URL ist.
Konfiguration in SimpleSAMLphp
Bei simpleSAMLphp sieht ein solcher URL standardmäßig wie folgt aus:
https://<FQDN_SP_HOST>/simplesaml/module.php/core/as_login.php?AuthId=<AUTH_ID>&ReturnTo=<RESOURCE-LOCATION>&saml:idp=<ENTITYID_IDP>
wobei <AUTH_ID>
der Name bzw. die ID der betreffenden Authentication Source (Typ: saml:SP
) ist, üblicherweise default-sp
.