Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung
Vorhergehende Überarbeitung
de:functionaltest_sp [2017/06/14 11:31] – angelegt Wolfgang Pempede:functionaltest_sp [2024/01/12 08:22] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Funktionstest Service Provider ====== ====== Funktionstest Service Provider ======
  
 +<callout color="#ff9900" title="Wartezeit nach Aufnahme in Testföderation">
 +Alle Föderationsmetadaten - auch die der Test-Föderation - werden jeweils zur vollen Stunde aggregiert. Dies dauert 10-15 Minuten. Danach müssen die teilnehmenden IdPs und SPs sich die aktuellen Metadaten abholen. Das tun sie in dem jeweils konfigurierten Intervall (oft alle 1-2 Stunden). Aus diesem Grund ist es nötig, nach Änderungen an Metadatensätzen, bzw. nach der Neuaufnahme eines Systems in die Testföderation, 60-90 Minuten zu warten, bevor Sie testen.
 +</callout>
 +
 +<callout color="#ff9900" title="Attributbasierte Autorisierung">
 +An vielen Heimateinrichtungen sind auch Nutzer*innen im Identity Management System registriert, die keine Hochschulangehörigen laut Landeshochschulgesetz sind, sondern z.B. Gäste, Alumni etc. I.d.R. steht ein Dienst / Service Provider nur einer Teilmenge der an einer Einrichtung registrierten Nutzer*innen zur Verfügung. Daher **darf ein erfolgreicher Login am IdP nicht als alleiniges Kriterium für den Zugriff auf einen Dienst gewertet werden. Es muss eine Autorisierungsentscheidung anhand der vom IdP übertragenen Attribute getroffen werden**. Welche Attribute hierfür in Frage kommen, hängt von der Art und der Implementierung des jeweiligen Dienstes ab. Falls Sie hierzu Fragen haben, kontaktieren Sie bitte die [[de:aai:contact|DFN-AAI Hotline]].
 +</callout>
 +
 +Über die DFN-AAI Testföderation steht ein Identity Provider für Funktionstests zur Verfügung:
 +
 +^DisplayName  ^EntityID  ^Bemerkungen  |
 +|DFN: Offizieller öffentlicher Test-IdP|[[https://testidp2.aai.dfn.de/idp/shibboleth|https://testidp2.aai.dfn.de/idp/shibboleth]]|SAML2, Standardverhalten (Attribute Push)|
 +==== Test-Accounts ====
 +
 +Folgende Testaccounts stehen auf beiden IdP-Instanzen standardmäßig zur Verfügung:
 +
 +^Username  ^Passwort^eduPersonEntitlement  ^eduPersonScopedAffiliation^Beschreibung|
 +|test-clt|test  |urn:mace:dir:common-lib-terms|member@…  |Mitglieder der Heimateinrichtung|
 +|test-na  |test  |–  |affiliate@…  |Affiliate **ohne Berechtigungen** |
 +|test-lwi|test  |urn:mace:dir:common-lib-terms|library-walk-in@…|Nutzer*in am Bibliotheksterminal|
 +|test-me  |test  |urn:mace:dir:common-lib-terms; urn:something…|member@…|Mitglied mit mehreren Berechtigungen|
 +|test-ma  |test  |urn:mace:dir:common-lib-terms|member@… ; staff@…|Mitglied mit mehreren Zugehörigkeiten|
 +|test-all |test  |nur, wenn in SP-Metadaten angegeben|nur, wenn in SP-Metadaten angegeben|IdP überträgt alle Attribute, die in SP-Metadaten als erforderlich markiert sind.|
 +|test-special-characters1, test-special-characters2, test-special-characters3 |test |nur, wenn in SP-Metadaten angegeben|nur, wenn in SP-Metadaten angegeben|givenName and sn contain special characters, IdP überträgt alle Attribute, die in SP-Metadaten als erforderlich markiert sind.|
 +|test-multi-mail |test  |nur, wenn in SP-Metadaten angegeben|nur, wenn in SP-Metadaten angegeben|multiple values in e-mail attribute (''mail'' bitte nicht zur Identifizierung nutzen, siehe [[de:aai:attributes_best_practice|Best Practice]]), IdP überträgt alle Attribute, die in SP-Metadaten als erforderlich markiert sind.|
 +
 +
 +Diese Testuser dienen v.a. dazu, die Autorisierung bei klassischen Verlagsanbietern bzw. **Content Providern** zu testen. Weitere Testuser, die ein **spezifisches Attributprofil** bedienen, werden auf Zuruf zu Verfügung gestellt. Kontaktieren Sie hierzu bitte [[hotline@aai.dfn.de|]].
  • Zuletzt geändert: vor 7 Jahren