Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:edugain [2017/06/14 15:24]
Wolfgang Pempe
de:edugain [2019/01/21 14:38] (aktuell)
Silke Meyer [Konfiguration (IdP/SP/AA)]
Zeile 1: Zeile 1:
 ====== eduGAIN / Interfederation ====== ====== eduGAIN / Interfederation ======
  
-Um föderationsübergreifende Single-Sign-On Lösungen im Forschungs- und Bildungsbereich zu ermöglichen,​ wurde im Rahmen des GÉANT2 Projekts der Dienst eduGAIN ("​GÉANT Authorisation INfrastructure for the research and education community"​) entwickelt. 2011 wurde der Dienst in den Produktivbetrieb überführt und steht seitdem neben den europäischen ​AAI-Föderationen auch außereuropäischen Teilnehmern offen.+Um föderationsübergreifende Single-Sign-On Lösungen im Forschungs- und Bildungsbereich zu ermöglichen,​ wurde im Rahmen des GÉANT2 Projekts der Dienst eduGAIN ("​GÉANT Authorisation INfrastructure for the research and education community"​) entwickelt. 2011 wurde der Dienst in den Produktivbetrieb überführt und steht seitdem neben den europäischen Föderationen auch außereuropäischen Teilnehmern offen.
  
 Dokumentationen und Einführungen:​ Dokumentationen und Einführungen:​
-  ​* Einen Überblick über die aktuellen Teilnehmer ​bietet die [[http://www.edugain.org/technical/status.php|eduGAIN Status-Seite]]+ 
 +  ​* Einen Überblick über die aktuell teilnehmenden Föderationen ​bietet die [[https://technical.edugain.org/​status|eduGAIN Status-Seite]]
   * Eine visuelle Einführung zum Thema bietet [[http://​www.youtube.com/​watch?​v=x1YhuFPxMz8|dieses Video]] (Youtube)   * Eine visuelle Einführung zum Thema bietet [[http://​www.youtube.com/​watch?​v=x1YhuFPxMz8|dieses Video]] (Youtube)
-  * Für HowTos und FAQs siehe das [[https://​wiki.edugain.org/​|eduGAIN-Wiki]]+  * Für HowTos und FAQs siehe das [[https://​wiki.geant.org/​display/​eduGAIN/​|eduGAIN-Wiki]]
  
 ==== Teilnahme in eduGAIN ==== ==== Teilnahme in eduGAIN ====
-Technisch gesehen handelt es sich bei eduGAIN um einen Metadaten-Aggregator,​ d.h. die von den teilnehmenden Föderationen bereitgestellten Metadaten werden in einem zentral gepflegten Metadatensatz gesammelt, der dann die Grundlage für die Kommunikation der Provider untereinander bildet. Das Verfahren zur Teilnahme in eduGAIN ist zweistufig: Zunächst muss die jeweilige Föderation an eduGAIN teilnehmen. Den entsprechenden Vertrag hat der DFN als eines der ersten europäischen Forschungsnetze unterzeichnet. Provider, die in der teilnehmenden Föderation registriert sind, können sich nun entscheiden,​ zusätzlich in die von eduGAIN gepflegten und bereitgestellten Metadaten aufgenommen zu werden ("​Opt-In"​). Die beteiligten Föderationen stellen zu diesem Zweck jeweils einen Metadatensatz zur Verfügung, in dem die Provider enthalten sind, die für die zusätzliche Teilnahme in eduGAIN optiert haben. 
  
-Damit sichergestellt istdass eine reibungslose Kommunikation stattfindet,​ müssen ​die von den jeweiligen ​Föderationen ​an eduGAIN gelieferten ​Metadaten ​dem von eduGAIN ​vorgeschriebenen [[https://technical.edugain.org/​doc/​eduGAIN_metadata_profile.pdf|Metadatenprofil]] ​(siehe untenentsprechen.+Technisch gesehen handelt es sich bei eduGAIN um einen Metadaten-Aggregatord.h. die von den teilnehmenden ​Föderationen ​bereitgestellten ​Metadaten ​werden in einem zentral gepflegten Metadatensatz gesammelt, der dann die Grundlage für die Kommunikation der Entities untereinander bildet. Das Verfahren zur Teilnahme in eduGAIN ​ist zweistufigZunächst muss die jeweilige Föderation an eduGAIN teilnehmenDen entsprechenden Vertrag hat der DFN als eines der ersten europäischen Forschungsnetze unterzeichnetProvider, die in der teilnehmenden Föderation registriert sind, können sich im Fall der DFN-AAI nun entscheiden,​ zusätzlich in die von eduGAIN gepflegten und bereitgestellten Metadaten aufgenommen zu werden ​("​Opt-In"​).
  
-Die von den Föderationen ​bereitgestellten **Metadaten** (Upstream Metadata) werden in regelmäßigen Intervallen vom eduGAIN ​Metadata Service (MDS) abgerufen, validiert, zum o.g. zentralen Metadatensatz zusammengeführt und signiert. Für die Nutzung seitens ihrer Teilnehmer stellt die DFN-AAI jeweils für IdPs und SPs einen signierten ​[[de:metadata|Metadatensatz]] zur Verfügung (Downstream Metadata), aus dem aus Konsistenzgründen Entities, die bereits in der DFN-AAI registriert sind, herausgefiltert werdenDiese Metadaten müssen deshalb zusätzlich zu den DFN-AAI-, DFN-AAI-Basic- und ggflokalen Metadaten beim jeweiligen IdP oder SP referenziert werdenSiehe hierzu auch die unter [[de:​production|Produktivbetrieb]] aufgeführten Konfigurationsbeispiele.+Damit sichergestellt ist, dass eine reibungslose Kommunikation stattfindet,​ müssen die von den jeweiligen ​Föderationen ​an eduGAIN gelieferten ​Metadaten ​dem von eduGAIN ​vorgeschriebenen ​[[https://technical.edugain.org/​doc/​eduGAIN_metadata_profile.pdf|Metadatenprofil]] entsprechen.
  
-Für eine **Übersicht** über die via eduGAIN verfügbaren Service- und Identity-Provider siehe das entsprechende [[https://​www.aai.dfn.de/​verzeichnis/​|Verzeichnis]] sowie die [[https://​technical.edugain.org/​entities|eduGAIN Entities Database]].+Die von den Föderationen bereitgestellten **Metadaten** ​ (Upstream Metadata) werden in regelmäßigen Intervallen vom eduGAIN Metadata Service (MDS) abgerufen, validiert, zum o.g. zentralen Metadatensatz zusammengeführt und signiert. Für die Nutzung seitens ihrer Teilnehmer stellt die DFN-AAI jeweils für IdPs und SPs einen signierten [[:​de:​metadata|Metadatensatz]] zur Verfügung (Downstream Metadata), aus dem aus Konsistenzgründen jene Entities, die bereits in der DFN-AAI registriert sind, herausgefiltert werden. Diese Metadaten müssen deshalb zusätzlich zu den DFN-AAI-, DFN-AAI-Basic- und ggf. lokalen Metadaten beim jeweiligen IdP oder SP referenziert werden. Siehe hierzu auch die unter [[:​de:​production|Produktivbetrieb]] aufgeführten Konfigurationsbeispiele. 
 + 
 +Für eine **Übersicht** ​ über die via eduGAIN verfügbaren Service- und Identity-Provider siehe das entsprechende [[https://​www.aai.dfn.de/​verzeichnis/​|Verzeichnis]] sowie die [[https://​technical.edugain.org/​entities|eduGAIN Entities Database]].
  
 Die **Policies**,​ die für die Teilnahme in eduGAIN verpflichtend sind, bilden notwendigerweise den kleinsten gemeinsamen Nenner der Policies der beteiligten Föderationen,​ sind also vergleichsweise lax. Insofern empfiehlt es sich, sich vor einem Opt-In mit den aktuellen [[https://​technical.edugain.org/​documents|diesbezüglichen Dokumenten]] zu befassen. Die **Policies**,​ die für die Teilnahme in eduGAIN verpflichtend sind, bilden notwendigerweise den kleinsten gemeinsamen Nenner der Policies der beteiligten Föderationen,​ sind also vergleichsweise lax. Insofern empfiehlt es sich, sich vor einem Opt-In mit den aktuellen [[https://​technical.edugain.org/​documents|diesbezüglichen Dokumenten]] zu befassen.
  
-Zum Thema **Datenschutz** siehe [[https://​www.aai.dfn.de/​der-dienst/​datenschutz/​data-protection-code-of-conduct/​|Data Protection Code of Conduct]], zur Implementierung in der DFN-AAI sei auf [[de:​entity_attributes#​entity_categories|Entity Categories]] verwiesen.+Zum Thema **Datenschutz** ​ siehe [[https://​www.aai.dfn.de/​der-dienst/​datenschutz/​data-protection-code-of-conduct/​|Data Protection Code of Conduct]], zur Implementierung in der DFN-AAI sei auf [[:de:​entity_attributes#​entity_categories|Entity Categories]] verwiesen. 
 + 
 +==== Konfiguration (IdP/SP/AA) ====
  
-==== Konfiguration (IdP/SP) ====+Sind die o.g. Voraussetzungen erfüllt und ist die betreffende Entity bereits in der DFN-AAI Produktivföderation registriert,​ sind zur Teilnahme in eduGAIN noch folgende Schritte erforderlich:​
  
-Sind die o.gVoraussetzungen efüllt, sind zur Teilnahme in eduGAIN noch folgende Schritte erforderlich:+  - **Metadatenverwaltung:​** ​ IdP/SP auswählen, auf das Werkzeugzeichen klicken und in der Metadaten-Ansicht im Abschnitt "​Föderationen" ​die entsprechende Checkbox aktivieren. 
 +  - **MetadataProvider konfigurieren:​** ​ Siehe hierzu die Beispiele unter [[:​de:​production|Produktivbetrieb]]. 
 +      * IdPs und Attribute Authorities (AA) verwenden zusätzlich diesen Metadatensatz\\ **Signatur DFN-PKI G2:** [[http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+sp-metadata.xml|http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+sp-metadata.xml]] \\ 
 +      * SPs verwenden zusätzlich diesen Metadatensatz:​ \\ **Signatur DFN-PKI G2:** [[http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+idp-metadata.xml|http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+idp-metadata.xml]] 
 +Siehe auch unter [[:​de:​metadata|Metadaten]].
  
-  - **Metadatenverwaltung:​** IdP/SP auswählen, auf das Werkzeugzeichen klicken und in der Metadaten-Ansicht im Abschnitt "​Föderationen"​ die entsprechende Checkbox aktivieren. 
-  - **MetadataProvider konfigurieren:​** Siehe hierzu die Beispiele unter [[de:​production|Produktivbetrieb]]. 
-     * IdPs verwenden zusätzlich diesen Metadatensatz:​ \\ https://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+sp-metadata.xml (Signatur DFN-PKI G2) \\ bzw. \\ https://​www.aai.dfn.de/​fileadmin/​metadata/​DFN-AAI-eduGAIN+sp-metadata.xml (alte Zertifikathierarchie) 
-     * SPs verwenden zusätzlich diesen Metadatensatz:​ \\ https://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+idp-metadata.xml (Signatur DFN-PKI G2) \\ bzw. \\ https://​www.aai.dfn.de/​fileadmin/​metadata/​DFN-AAI-eduGAIN+idp-metadata.xml (alte Zertifikathierarchie) 
  
-Siehe auch unter [[de:​metadata|Metadaten]]. 
  • Zuletzt geändert: vor 3 Jahren