Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:eduroam:easyroam-off-boarding [2023/02/06 10:28] Ralf Paffrathde:eduroam:easyroam-off-boarding [2024/01/16 16:00] (aktuell) – [Die XML-Datei für das easyroam-Off-Boardiung] Ralf Paffrath
Zeile 3: Zeile 3:
 Wenn Institutsangehörige (Studierende, Lehrende etc.) die Einrichtungen verlassen, verlieren sie in der Regel  Wenn Institutsangehörige (Studierende, Lehrende etc.) die Einrichtungen verlassen, verlieren sie in der Regel 
 die Berechtigung, DFN-Dienste zu nutzen. Zu den DFN-Diensten zählt auch der Dienst eduroam bzw. easyroam. die Berechtigung, DFN-Dienste zu nutzen. Zu den DFN-Diensten zählt auch der Dienst eduroam bzw. easyroam.
-In diesem Rahmen ist der Begriff easyroam-Off-Boarding geprägt worden. Dahinter verbirgt sich ein Mechanismuss+In diesem Rahmen ist der Begriff easyroam-Off-Boarding geprägt worden. Dahinter verbirgt sich ein Mechanismus
 um eine größere Anzahl von Nutzenden, die nicht mehr einer Einrichtung im DFN zugeordnet werden können,  um eine größere Anzahl von Nutzenden, die nicht mehr einer Einrichtung im DFN zugeordnet werden können, 
 den Zugang zu easyroam/eduroam verwehren. den Zugang zu easyroam/eduroam verwehren.
    
 Ein manuelles, vereinzeltes easyroam-Off-Boarding kann der Admin über das Admin Portal im Bereich Benutzerverwaltung  Ein manuelles, vereinzeltes easyroam-Off-Boarding kann der Admin über das Admin Portal im Bereich Benutzerverwaltung 
-jederzeit durchführen. Diese Möglichkeit gibt es bereits seit Einführung von easyroamn im Regelbetrieb. +jederzeit durchführen. Diese Möglichkeit gibt es bereits seit Einführung von easyroam im Regelbetrieb. 
-Das easyroam-Off-Boarding im Batch ermöglich das Einlesen einer digital signierten XML-Datei.+Das easyroam-Off-Boarding im Batch kann über die [[https://api.easyroam.de/docs/ | neue easyroam API]] in eigener Regie erfolgen. Für den Zugriff auf die easyroam API  
 +sind easyroam Adminrechten erforderlich.
  
-==== Die XML-Datei für das easyroam-Off-Boardiung ==== 
- 
-Die Vorgaben für die signierte XML-Datei sind möglichst trivial gehalten und umfassen u.a. folgende Tags: 
- 
-<code> 
-... 
-<Transaction execution_date="2024-01-24"> 
-... 
-<User>ZA62CCVETHALAEHQ656XXEBMN4U67OME</User> 
-... 
-<User>ABVDEFGHI1254678990ABCDEFGHIGFKJ</User> 
-</code> 
- 
-"Transaction execution_date" bezeichnet  das Datum, an dem den Nutzenden der Zugnag zu easyroam/eduroam verwehrt werden soll. 
-Dieses Datum liegt in der Regel 30 Tage in der Zukunft. Während dieser Zeit hat der easyroam Admin die Möglichkeit  
-Fehler zu korrigieren. Nach Ablauf des Datums werden alle aktuellen easyroam Pseudoprofile widerrufen und die Pairwise-ID  
-der Nutzenden, die die Einrichtung verlassen für easyroam/eduroam gesperrt. Einmal widerrufenen easyroam Pseudoprofile  
-können nicht mehr verwendet werden.\\ 
-Das zweite Tag:\\ 
-"<User> .... </User> enthält das Pseudonym, die Pairwise-Id, die in der Regel vom DFN-AAI-IdP Admin der Einrichtung kommt. 
- 
-Beispiel Template einer {{ :de:eduroam:off2.xml | XML-Datei}}: 
-<code> 
-<?xml version="1.0"?> 
-<Transaction execution_date="2024-01-24"> 
-<SigningCertificate> 
------BEGIN CERTIFICATE----- 
-MIIHATCCBOmgAwIBAgIQQCuA1IBfAYc7iy2N9P6XVzANBgkqhkiG9w0BAQwFADBG 
-MQswCQYDVQQGEwJOTDEZMBcGA1UEChMQR0VBTlQgVmVyZW5pZ2luZzEcMBoGA1UE 
-AxMTR0VBTlQgUGVyc29uYWwgQ0EgNDAeFw0yMjAxMDUwMDAwMDBaFw0yNTAxMDQy 
-MzU5NTlaMIGSMRkwFwYDVQQJExBBbGV4YW5kZXJwbGF0eiAxMQ8wDQYDVQQIEwZC 
-ZXJsaW4xCzAJBgNVBAYTAkRFMT8wPQYDVQQKEzZWZXJlaW4genVyIEZvZXJkZXJ1 
-bmcgZWluZXMgRGV1dHNjaGVuIEZvcnNjaHVuZ3NuZXR6ZXMxFjAUBgNVBAMTDVJh 
-bGYgUGFmZnJhdGgwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCgpLHL 
-qZS//bpRL5t4pZtnWwCppsfLjw0CV2VWwfWaH/cBe2wcw2aZVyQFXKlG0OOdQwYC 
-M5Di8snQbTlH8tzpZ4DegLG5n+rFYdsDu8MUp0FhwZc9q/rhXKIzpv2KLJ6Rmqnv 
-yBj9msVi+zpBWXj5GQge+EgKW38G7iV1xpWuWAInCZ+xSCZijh671oj8VuEs3N19 
-BrJBbRT4gpvqeR6LmQue/sSNb7Wscb3DrdvUfb5qj83IvgyzrpTiXqHzahZ9lClt 
-NKpJ51wqTjvG2iS9oao435jH8Dr2MqdGGaCRbAw66/1alb8hTQFncl/Uk/SYnu2v 
-yyFPMAWPS4Lo/Ucumy8nA/IpYEXv0o0VIEWirkZqigd6RvvdwkqE6uynMMjY/EIe 
-lF5XOJ2G+WeDkQiyq29RH4GMy0dmRdwJf28vxlE9Xw2z7AeRhuxfveVERFHhl/mi 
-OMZC4Tf0AoavmCDr6g9o2n0+6oWjfiyTn91yZNwGFksQMRutdWyCaNldUOoF2yMM 
-XCQBD2gkJPsKqFF8YBmFJfAp0lRU9WnBPjpaHDdN9yJaN+Ccei1pjisxVGmNRZ8H 
-oBpDjmpcbhDAE+bx7BaSjyCpHXYRQBJJJKifaazqOcOPNkZhLNAFRE7Vu8NpVHF8 
-Fvoos1Fv8NUNokJUCk+FJdK8s8fEJeYYcWn8XwIDAQABo4IBnDCCAZgwHwYDVR0j 
-BBgwFoAUaQChxyFY+ODFGyCwCt2nUb8T2eQwHQYDVR0OBBYEFPsZLaBiYT/Db2ZR 
-geziDEN/jG+/MA4GA1UdDwEB/wQEAwIFoDAMBgNVHRMBAf8EAjAAMB0GA1UdJQQW 
-MBQGCCsGAQUFBwMEBggrBgEFBQcDAjA/BgNVHSAEODA2MDQGCysGAQQBsjEBAgJP 
-MCUwIwYIKwYBBQUHAgEWF2h0dHBzOi8vc2VjdGlnby5jb20vQ1BTMEIGA1UdHwQ7 
-MDkwN6A1oDOGMWh0dHA6Ly9HRUFOVC5jcmwuc2VjdGlnby5jb20vR0VBTlRQZXJz 
-b25hbENBNC5jcmwweAYIKwYBBQUHAQEEbDBqMD0GCCsGAQUFBzAChjFodHRwOi8v 
-R0VBTlQuY3J0LnNlY3RpZ28uY29tL0dFQU5UUGVyc29uYWxDQTQuY3J0MCkGCCsG 
-AQUFBzABhh1odHRwOi8vR0VBTlQub2NzcC5zZWN0aWdvLmNvbTAaBgNVHREEEzAR 
-gQ9wYWZmcmF0aEBkZm4uZGUwDQYJKoZIhvcNAQEMBQADggIBAB6JXOCF68fhwu2a 
-eBHF+V1ljggOs/DVaVZREragcwax1rnt6+5naP+cA+cnAktOUK1q2q2SPHhZIrBS 
-MEcm3ZkZ9SMq7DnbNbNqE7jN4AmA7Zs11rJAADU1L6wOwlnGGbBQZE89YrqePJen 
-MJx+glubVocaKRbufyqD5AfUjTv6X+tweQMAHAW6gW6zZPh9j1V4zCmG5puC1M2F 
-mFApfCuXcc7E/VefIPwvOUSr8pF7jbiamZhKRyHzN+RqflZOLyauetr7LlSYOTwB 
-xgwIjyJ+/ia67n1bgjd1gU1HWwOql+rtyzNVoQyLBg3Y/pAaprbLoGhtDvylZ2FW 
-VS/WHfZeCdHNPs1vHE+ks+qlSUhmq1EzE91I80gKtm4952yyVmK/EKi4RNKHA/vb 
-HX+XNHHSHIcN/Nj12M/AxasswsdpVSa0MRYwPEkUmi5uXTRSkAwqQL4Kb9rTaasI 
-voS0KvndGe5gE4ykmz6UKteFqU3ENRYbTx62ZbZK7N4dVe3U5JZobUzF631AIaKi 
-VHC7Ov56RG6gTAImKDhFxrmpDgycDIwguorM0UXeCT1pQs3MFJNX9WUEVpzM8Ikb 
-XRfm8NqCsYqqAfW1cj/y3+lK7OHbsGUaKRKYp2ShM5Wl4XhsZ5i1+oBZgkxgYUOQ 
-tcQMW9Q1xr+ngieUS3ryF8cHhmUO 
------END CERTIFICATE----- 
-</SigningCertificate> 
-<Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> 
-  <SignedInfo> 
-   <CanonicalizationMethod Algorithm= 
-      "http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/> 
-   <SignatureMethod Algorithm= 
-      "http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> 
-     <Reference URI=""> 
-      <Transforms> 
-       <Transform Algorithm= 
-         "http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> 
-      </Transforms> 
-       <DigestMethod Algorithm= 
-          "http://www.w3.org/2000/09/xmldsig#sha1"/> 
-        <DigestValue></DigestValue> 
-     </Reference> 
-   </SignedInfo> 
-   <SignatureValue /> 
-    <KeyInfo> 
-   <KeyValue /> 
-  </KeyInfo> 
- </Signature> 
-<User>Template TCS PKI</User> 
-</Transaction> 
-</code> 
-Dieses Datei lässt sich im Anschluss durch den privaten Schlüssel eines Nutzerzertifikats der TCS oder der DFN-PKI mit folgendem Komamdo signieren: 
-<code> 
-xmlsec1 --sign --privkey-pem private.key --output signed_offboarding2.xml off2.xml 
-</code> 
-oder mit einer  .p12-Datei: 
-<code> 
-xmlsec1 --sign --pkcs12 MyCert.p12 --output signed_offboarding2.xml --pwd foryoureyesonly off2.xml 
-</code> 
-Beispiel einer signierten {{ :de:eduroam:signed_offboarding2.xml | easyroam-Off-Boarding Datei}}: 
-<code> 
-<?xml version="1.0"?> 
-<Transaction execution_date="2024-01-24"> 
-<SigningCertificate> 
------BEGIN CERTIFICATE----- 
-MIIHATCCBOmgAwIBAgIQQCuA1IBfAYc7iy2N9P6XVzANBgkqhkiG9w0BAQwFADBG 
-MQswCQYDVQQGEwJOTDEZMBcGA1UEChMQR0VBTlQgVmVyZW5pZ2luZzEcMBoGA1UE 
-AxMTR0VBTlQgUGVyc29uYWwgQ0EgNDAeFw0yMjAxMDUwMDAwMDBaFw0yNTAxMDQy 
-MzU5NTlaMIGSMRkwFwYDVQQJExBBbGV4YW5kZXJwbGF0eiAxMQ8wDQYDVQQIEwZC 
-ZXJsaW4xCzAJBgNVBAYTAkRFMT8wPQYDVQQKEzZWZXJlaW4genVyIEZvZXJkZXJ1 
-bmcgZWluZXMgRGV1dHNjaGVuIEZvcnNjaHVuZ3NuZXR6ZXMxFjAUBgNVBAMTDVJh 
-bGYgUGFmZnJhdGgwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCgpLHL 
-qZS//bpRL5t4pZtnWwCppsfLjw0CV2VWwfWaH/cBe2wcw2aZVyQFXKlG0OOdQwYC 
-M5Di8snQbTlH8tzpZ4DegLG5n+rFYdsDu8MUp0FhwZc9q/rhXKIzpv2KLJ6Rmqnv 
-yBj9msVi+zpBWXj5GQge+EgKW38G7iV1xpWuWAInCZ+xSCZijh671oj8VuEs3N19 
-BrJBbRT4gpvqeR6LmQue/sSNb7Wscb3DrdvUfb5qj83IvgyzrpTiXqHzahZ9lClt 
-NKpJ51wqTjvG2iS9oao435jH8Dr2MqdGGaCRbAw66/1alb8hTQFncl/Uk/SYnu2v 
-yyFPMAWPS4Lo/Ucumy8nA/IpYEXv0o0VIEWirkZqigd6RvvdwkqE6uynMMjY/EIe 
-lF5XOJ2G+WeDkQiyq29RH4GMy0dmRdwJf28vxlE9Xw2z7AeRhuxfveVERFHhl/mi 
-OMZC4Tf0AoavmCDr6g9o2n0+6oWjfiyTn91yZNwGFksQMRutdWyCaNldUOoF2yMM 
-XCQBD2gkJPsKqFF8YBmFJfAp0lRU9WnBPjpaHDdN9yJaN+Ccei1pjisxVGmNRZ8H 
-oBpDjmpcbhDAE+bx7BaSjyCpHXYRQBJJJKifaazqOcOPNkZhLNAFRE7Vu8NpVHF8 
-Fvoos1Fv8NUNokJUCk+FJdK8s8fEJeYYcWn8XwIDAQABo4IBnDCCAZgwHwYDVR0j 
-BBgwFoAUaQChxyFY+ODFGyCwCt2nUb8T2eQwHQYDVR0OBBYEFPsZLaBiYT/Db2ZR 
-geziDEN/jG+/MA4GA1UdDwEB/wQEAwIFoDAMBgNVHRMBAf8EAjAAMB0GA1UdJQQW 
-MBQGCCsGAQUFBwMEBggrBgEFBQcDAjA/BgNVHSAEODA2MDQGCysGAQQBsjEBAgJP 
-MCUwIwYIKwYBBQUHAgEWF2h0dHBzOi8vc2VjdGlnby5jb20vQ1BTMEIGA1UdHwQ7 
-MDkwN6A1oDOGMWh0dHA6Ly9HRUFOVC5jcmwuc2VjdGlnby5jb20vR0VBTlRQZXJz 
-b25hbENBNC5jcmwweAYIKwYBBQUHAQEEbDBqMD0GCCsGAQUFBzAChjFodHRwOi8v 
-R0VBTlQuY3J0LnNlY3RpZ28uY29tL0dFQU5UUGVyc29uYWxDQTQuY3J0MCkGCCsG 
-AQUFBzABhh1odHRwOi8vR0VBTlQub2NzcC5zZWN0aWdvLmNvbTAaBgNVHREEEzAR 
-gQ9wYWZmcmF0aEBkZm4uZGUwDQYJKoZIhvcNAQEMBQADggIBAB6JXOCF68fhwu2a 
-eBHF+V1ljggOs/DVaVZREragcwax1rnt6+5naP+cA+cnAktOUK1q2q2SPHhZIrBS 
-MEcm3ZkZ9SMq7DnbNbNqE7jN4AmA7Zs11rJAADU1L6wOwlnGGbBQZE89YrqePJen 
-MJx+glubVocaKRbufyqD5AfUjTv6X+tweQMAHAW6gW6zZPh9j1V4zCmG5puC1M2F 
-mFApfCuXcc7E/VefIPwvOUSr8pF7jbiamZhKRyHzN+RqflZOLyauetr7LlSYOTwB 
-xgwIjyJ+/ia67n1bgjd1gU1HWwOql+rtyzNVoQyLBg3Y/pAaprbLoGhtDvylZ2FW 
-VS/WHfZeCdHNPs1vHE+ks+qlSUhmq1EzE91I80gKtm4952yyVmK/EKi4RNKHA/vb 
-HX+XNHHSHIcN/Nj12M/AxasswsdpVSa0MRYwPEkUmi5uXTRSkAwqQL4Kb9rTaasI 
-voS0KvndGe5gE4ykmz6UKteFqU3ENRYbTx62ZbZK7N4dVe3U5JZobUzF631AIaKi 
-VHC7Ov56RG6gTAImKDhFxrmpDgycDIwguorM0UXeCT1pQs3MFJNX9WUEVpzM8Ikb 
-XRfm8NqCsYqqAfW1cj/y3+lK7OHbsGUaKRKYp2ShM5Wl4XhsZ5i1+oBZgkxgYUOQ 
-tcQMW9Q1xr+ngieUS3ryF8cHhmUO 
------END CERTIFICATE----- 
-</SigningCertificate> 
-<Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> 
-  <SignedInfo> 
-   <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/> 
-    <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> 
-    <Reference URI=""> 
-      <Transforms> 
-       <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/> 
-      </Transforms> 
-       <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> 
-        <DigestValue>1UKMZfKEP9xEoBVxd7YZ+FumBO0=</DigestValue> 
-     </Reference> 
-  </SignedInfo> 
-  <SignatureValue> 
-O/TLsPH29LJnwKXv51CUbpRcqkrDHavxMCKJeWRPLYy4wWtSMfOVAp1wlpxnx9mV 
-OBHJ/MZTpQdEmsoMmw+i/96EkoxojVQAXUP80dc0ZADSCQeuws8bIevcIVQ1sNei 
-faeC9otHekqJQujT4Y0x6PdQKac9IFmoaRhVIBNaHjgtzmgRXjaEnUrqYoDjyp4Q 
-wFZrnKRX/panaF8YGis5zXHwpd0xK3RujWCHcSAsD34HE2eKqXs1Bkr0x/ELlJo0 
-GGmEtflLtHT/vVpC0t/BfvRJp2WCv2K3GQ9H+dBQ4R6c+yQVPS6G0U+Zm/eRrwR9 
-qD0K1OlNhtewzEV7xbuemYXnPzbE7BUgY9bXsW4k3HNI2fKKPDnorgQBXxI4bEOs 
-Q6n2I1StRLVs7nOSDMgeUvRIYGItaJ8qux6qS/eofj8eH3BPlSGm3U0WygljrIoM 
-Qi0nxhVQ7aL8wNVrNJl5j3kNp58cUqln/nIT9XDY13Wj1AQzG7OCi/uGKtPDSvp6 
-vCvTDQgJWEfdzx13zQrJGENtsvhbPzJ5DjDKLNsEsWwf6DN4Gv3sTb3ggw9fMm9c 
-sSJImQ5Yj5u0jNtDNfuPDHihLR1SPeLcX+mMQvcNPqVJWfAgnkyWwuPGWRSoTHM5 
-39EdNZOkfuW8+hzMALveDHBDC7hdzHJigeVt7OE1s/U=</SignatureValue> 
-    <KeyInfo> 
-   <KeyValue> 
-<RSAKeyValue> 
-<Modulus> 
-oKSxy6mUv/26US+beKWbZ1sAqabHy48NAldlVsH1mh/3AXtsHMNmmVckBVypRtDj 
-nUMGAjOQ4vLJ0G05R/Lc6WeA3oCxuZ/qxWHbA7vDFKdBYcGXPav64VyiM6b9iiye 
-kZqp78gY/ZrFYvs6QVl4+RkIHvhIClt/Bu4ldcaVrlgCJwmfsUgmYo4eu9aI/Fbh 
-LNzdfQayQW0U+IKb6nkei5kLnv7EjW+1rHG9w63b1H2+ao/NyL4Ms66U4l6h82oW 
-fZQpbTSqSedcKk47xtokvaGqON+Yx/A69jKnRhmgkWwMOuv9WpW/IU0BZ3Jf1JP0 
-mJ7tr8shTzAFj0uC6P1HLpsvJwPyKWBF79KNFSBFoq5GaooHekb73cJKhOrspzDI 
-2PxCHpReVzidhvlng5EIsqtvUR+BjMtHZkXcCX9vL8ZRPV8Ns+wHkYbsX73lRERR 
-4Zf5ojjGQuE39AKGr5gg6+oPaNp9PuqFo34sk5/dcmTcBhZLEDEbrXVsgmjZXVDq 
-BdsjDFwkAQ9oJCT7CqhRfGAZhSXwKdJUVPVpwT46Whw3TfciWjfgnHotaY4rMVRp 
-jUWfB6AaQ45qXG4QwBPm8ewWko8gqR12EUASSSSon2ms6jnDjzZGYSzQBURO1bvD 
-aVRxfBb6KLNRb/DVDaJCVApPhSXSvLPHxCXmGHFp/F8= 
-</Modulus> 
-<Exponent> 
-AQAB 
-</Exponent> 
-</RSAKeyValue> 
-</KeyValue> 
-  </KeyInfo> 
- </Signature> 
-<User>Template TCS PKI</User> 
-</Transaction> 
-</code>     
  
  • Zuletzt geändert: vor 2 Jahren