| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:functionaltest_sp [2018/10/04 16:31] – Silke Meyer | de:functionaltest_sp [2024/01/12 08:22] (aktuell) – Wolfgang Pempe |
|---|
| ====== Funktionstest Service Provider ====== | ====== Funktionstest Service Provider ====== |
| |
| Über die DFN-AAI Testföderation stehen zwei Identity Provider für Funktionstests zur Verfügung: | <callout color="#ff9900" title="Wartezeit nach Aufnahme in Testföderation"> |
| | Alle Föderationsmetadaten - auch die der Test-Föderation - werden jeweils zur vollen Stunde aggregiert. Dies dauert 10-15 Minuten. Danach müssen die teilnehmenden IdPs und SPs sich die aktuellen Metadaten abholen. Das tun sie in dem jeweils konfigurierten Intervall (oft alle 1-2 Stunden). Aus diesem Grund ist es nötig, nach Änderungen an Metadatensätzen, bzw. nach der Neuaufnahme eines Systems in die Testföderation, 60-90 Minuten zu warten, bevor Sie testen. |
| | </callout> |
| | |
| | <callout color="#ff9900" title="Attributbasierte Autorisierung"> |
| | An vielen Heimateinrichtungen sind auch Nutzer*innen im Identity Management System registriert, die keine Hochschulangehörigen laut Landeshochschulgesetz sind, sondern z.B. Gäste, Alumni etc. I.d.R. steht ein Dienst / Service Provider nur einer Teilmenge der an einer Einrichtung registrierten Nutzer*innen zur Verfügung. Daher **darf ein erfolgreicher Login am IdP nicht als alleiniges Kriterium für den Zugriff auf einen Dienst gewertet werden. Es muss eine Autorisierungsentscheidung anhand der vom IdP übertragenen Attribute getroffen werden**. Welche Attribute hierfür in Frage kommen, hängt von der Art und der Implementierung des jeweiligen Dienstes ab. Falls Sie hierzu Fragen haben, kontaktieren Sie bitte die [[de:aai:contact|DFN-AAI Hotline]]. |
| | </callout> |
| | |
| | Über die DFN-AAI Testföderation steht ein Identity Provider für Funktionstests zur Verfügung: |
| |
| ^DisplayName ^EntityID ^Bemerkungen | | ^DisplayName ^EntityID ^Bemerkungen | |
| |DFN Test-IdP 2|[[https://testidp2.aai.dfn.de/idp/shibboleth|https://testidp2.aai.dfn.de/idp/shibboleth]]|SAML2, Standardverhalten (Attribute Push)| | |DFN: Offizieller öffentlicher Test-IdP|[[https://testidp2.aai.dfn.de/idp/shibboleth|https://testidp2.aai.dfn.de/idp/shibboleth]]|SAML2, Standardverhalten (Attribute Push)| |
| |DFN Test-IdP 1|[[https://testidp.aai.dfn.de/idp/shibboleth|https://testidp.aai.dfn.de/idp/shibboleth]] |SAML2, erfordert Attribute Query (wenn die Fähigkeit des SP, Attribute Queries auszuführen, getestet werden soll)| | |
| ==== Test-Accounts ==== | ==== Test-Accounts ==== |
| |
| Folgende Testaccounts stehen auf beiden IdP-Instanzen standardmäßig zur Verfügung: | Folgende Testaccounts stehen auf beiden IdP-Instanzen standardmäßig zur Verfügung: |
| |
| ^user ^password^eduPersonEntitlement ^eduPersonScopedAffiliation^description| | ^Username ^Passwort^eduPersonEntitlement ^eduPersonScopedAffiliation^Beschreibung| |
| |test-clt|test |urn:mace:dir:common-lib-terms|member@… |member of the university| | |test-clt|test |urn:mace:dir:common-lib-terms|member@… |Mitglieder der Heimateinrichtung| |
| |test-na |test |– |affiliate@… |affiliate with **no privileges** | | |test-na |test |– |affiliate@… |Affiliate **ohne Berechtigungen** | |
| |test-lwi|test |urn:mace:dir:common-lib-terms|library-walk-in@…|walk-in patron at a library terminal| | |test-lwi|test |urn:mace:dir:common-lib-terms|library-walk-in@…|Nutzer*in am Bibliotheksterminal| |
| |test-me |test |urn:mace:dir:common-lib-terms; urn:something…|member@…|member with multiple entitlements| | |test-me |test |urn:mace:dir:common-lib-terms; urn:something…|member@…|Mitglied mit mehreren Berechtigungen| |
| |test-ma |test |urn:mace:dir:common-lib-terms|member@… ; staff@…|member with multiple affiliations| | |test-ma |test |urn:mace:dir:common-lib-terms|member@… ; staff@…|Mitglied mit mehreren Zugehörigkeiten| |
| | |test-all |test |nur, wenn in SP-Metadaten angegeben|nur, wenn in SP-Metadaten angegeben|IdP überträgt alle Attribute, die in SP-Metadaten als erforderlich markiert sind.| |
| Diese Testuser dienen dazu, die Autorisierung bei klassischen Verlagsanbietern bzw. **Content Providern** zu testen. Weitere Testuser, die ein **spezifisches Attributprofil** bedienen, werden auf Zuruf zu Verfügung gestellt. Kontaktieren Sie hierzu bitte [[mailto:hotline@aai.dfn.de|]]. | |test-special-characters1, test-special-characters2, test-special-characters3 |test |nur, wenn in SP-Metadaten angegeben|nur, wenn in SP-Metadaten angegeben|givenName and sn contain special characters, IdP überträgt alle Attribute, die in SP-Metadaten als erforderlich markiert sind.| |
| | |test-multi-mail |test |nur, wenn in SP-Metadaten angegeben|nur, wenn in SP-Metadaten angegeben|multiple values in e-mail attribute (''mail'' bitte nicht zur Identifizierung nutzen, siehe [[de:aai:attributes_best_practice|Best Practice]]), IdP überträgt alle Attribute, die in SP-Metadaten als erforderlich markiert sind.| |
| ==== Attributbasierte Autorisierung ==== | |
| | |
| **Wichtig:** An vielen Heimateinrichtungen (nicht nur in Deutschland) sind auch Nutzerinnen im jeweiligen Identity Management System registriert, bei denen es sich nicht um Hochschulangehörige im engeren Sinne handelt (→ Landeshochschulgesetz), sondern z.B. um Gäste, Koperationspartner, Alumni etc.\\ | |
| In aller Regel steht ein Dienst bzw. Service Provider nur einer Teilmenge der an einer Einrichtung registrierten NutzerInnen zur Verfügung. Daher darf ein erfolgreicher Login am IdP der betreffenden Einrichtung nicht als alleiniges Kriterium für den Zugriff auf einen Dienst gewertet werden. Vielmehr muss eine Autorisierungsentscheidung anhand der vom IdP übertragenen Attribute getroffen werden. Welche Attribute hierfür in Frage kommen, hängt von der Art und der Implementierung des jeweiligen Dienstes ab. Falls Sie hierzu Fragen haben, kontaktieren Sie bitte die [[https://www.aai.dfn.de/kontakt/|DFN-AAI Hotline]]. | |
| | |
| \\ | |
| |
| |
| | Diese Testuser dienen v.a. dazu, die Autorisierung bei klassischen Verlagsanbietern bzw. **Content Providern** zu testen. Weitere Testuser, die ein **spezifisches Attributprofil** bedienen, werden auf Zuruf zu Verfügung gestellt. Kontaktieren Sie hierzu bitte [[hotline@aai.dfn.de|]]. |