Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:eduroam:emp [2025/10/03 14:19] Ralf Paffrathde:eduroam:emp [2026/03/24 12:44] (aktuell) – [Server] Jan-Frederik Rieckers
Zeile 5: Zeile 5:
 Im Zeitraum 2024/25 wurde in einem Gemeinschaftsprojekt unter maßgeblicher Beteiligung der DFN-Geschäftsstelle in Berlin und des DFN-CERTs in Hamburg das eduroam Metadaten Portal (EMP) entwickelt und als DFN-AAI Service Provider bereitgestellt. Das EMP ermöglicht unter anderem die gleichzeitige Konfiguration aller drei Föderations-Server. Durch die Integration des EMP in die DFN-AAI können nun alle eduroam IdPs/SPs, die an der DFN-AAI teilnehmen, die für ihren eduroam IdP/SP notwendigen Daten, wie beispielsweise die IP-Adressen der Clients und Server sowie die Realms der Einrichtung, auf dem EMP bearbeiten und verwalten. Im Zeitraum 2024/25 wurde in einem Gemeinschaftsprojekt unter maßgeblicher Beteiligung der DFN-Geschäftsstelle in Berlin und des DFN-CERTs in Hamburg das eduroam Metadaten Portal (EMP) entwickelt und als DFN-AAI Service Provider bereitgestellt. Das EMP ermöglicht unter anderem die gleichzeitige Konfiguration aller drei Föderations-Server. Durch die Integration des EMP in die DFN-AAI können nun alle eduroam IdPs/SPs, die an der DFN-AAI teilnehmen, die für ihren eduroam IdP/SP notwendigen Daten, wie beispielsweise die IP-Adressen der Clients und Server sowie die Realms der Einrichtung, auf dem EMP bearbeiten und verwalten.
  
-Das EMP versteht sich als eine Erweiterung des eduroam-Dienstes. Die Nutzung ist freiwillig.   +Das EMP versteht sich als eine Erweiterung des eduroam-Dienstes. Die Nutzung ist freiwillig. 
 + 
 +eduroam Admins im DFN können einen Zugang zum EMP erhalten, sofern ihre Einrichtung an der DFN-AAI teilnimmt und einen DFN-AAI Identity Provider stellen.    
  
 ===== Zugang zum EMP  ===== ===== Zugang zum EMP  =====
  
-eduroam Admins im DFN können einen Zugang zum EMP erhaltensofern ihre Einrichtung an der DFN-AAI teilnimmt und einen DFN-AAI Identity Provider stellenFolgende Zugangsdaten/Attribute für das Login ins EMP (https://emp.eduroam.de) sind erforderlich:+Das EMP (https://emp.eduroam.de) wird durch einen Keycloak SAML Proxy, der vom DFN-CERT bereitgestellt wird, in der DFN-AAI realisiert. 
 +Der Keycloak SAML Proxy trägt die EntityID: <code>https://kc-proxy.dfn-cert.de/idp/shibboleth</code>
  
 +Folgende Attribute werden angefragt:
 <code> <code>
-Display NameVor-und Nachname +displayName
-Entitlement: urn:geant:dfn.de:eduroam:emp:admin +eduPersonEntitlement: urn:geant:dfn.de:eduroam:emp:admin 
-Principal name +givenName 
-Scoped affiliation +sn 
-Given Name +schacHomeOrganization 
-Surname +eduPersonScopedAffiliation 
-E-Mail +mail 
-Pairwise-ID +SAML2.0 Subject Identifier: Pairwise-ID
-Home Organization+
 </code> </code>
 +<alert>[[https://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml|https://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml]]</alert>
 ===== Login emp.eduroam.de   ===== ===== Login emp.eduroam.de   =====
  
Zeile 48: Zeile 52:
 Vor der Erstellung der Realms müssen die Server registriert werden. Die Servernamen sind frei wählbar. In der Eingabemaske für die IP-Adresse können IPv4- und IPv6-Adressen eingegeben werden.  Vor der Erstellung der Realms müssen die Server registriert werden. Die Servernamen sind frei wählbar. In der Eingabemaske für die IP-Adresse können IPv4- und IPv6-Adressen eingegeben werden. 
  
-Der Server Domain Name (FQDN) wird auf seine Auflösung im DNS überprüft. Optional kann der Common Name oder der Subject Alternative Name in der erweiterten Zertifikat Namensvalidierung als regulärer Ausdruck angegeben werden.+Der Server Domain Name (FQDN) wird auf seine Auflösung im DNS überprüft. Es sollte grundsätzlich immer der FQDN verwendet werden. 
 + 
 +Bitte nutzen Sie nur in absoluten Ausnahmefällen die Überprüfung mittels der erweiterten Zertifikatsüberprüfung.
  
  
Zeile 63: Zeile 69:
  
 Ein eduroam Identity Provider muss auch einen eduroam Service Provider aktiv bereitstellen. Die Registrierung der Clients erfolgt analog zu den Servern. Optional kann hier der Operator Name eingetragen werden. Üblicherweise steht vor dem Operator Namen, gemäß dem Standard, eine “1”. Die “1” sollte nicht eingetragen werden, da sie vom System automatisch hinzugefügt wird. Ein eduroam Identity Provider muss auch einen eduroam Service Provider aktiv bereitstellen. Die Registrierung der Clients erfolgt analog zu den Servern. Optional kann hier der Operator Name eingetragen werden. Üblicherweise steht vor dem Operator Namen, gemäß dem Standard, eine “1”. Die “1” sollte nicht eingetragen werden, da sie vom System automatisch hinzugefügt wird.
 +
 +===== Reload der eduroam Föderations-Server =====
 +Die eduroam Föderations-Server im DFN sind in der Regel rund um die Uhr im Einsatz. Änderungen an der Konfiguration werden durch einen täglichen Reload der Föderations-Server um ca. 16:30 Uhr umgesetzt.
  
 <alert>  Support Address: ([[eduroam@dfn.de|eduroam@dfn.de]]) </alert> <alert>  Support Address: ([[eduroam@dfn.de|eduroam@dfn.de]]) </alert>
  • Zuletzt geändert: vor 6 Monaten