Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:metadata_local [2016/03/07 00:27] – Wolfgang Pempe | de:metadata_local [2017/04/25 15:07] – Wolfgang Pempe |
---|
Die lokalen Metadatensätze werden wie die Metadatensätze der DFN-AAI-Föderationen einmal pro Stunde neu erzeugt und sind ebenfalls über feste URLs abrufbar. Damit ist zugleich gewährleistet, dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen. | Die lokalen Metadatensätze werden wie die Metadatensätze der DFN-AAI-Föderationen einmal pro Stunde neu erzeugt und sind ebenfalls über feste URLs abrufbar. Damit ist zugleich gewährleistet, dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen. |
| |
Der URL für die lokalen Metadaten einer Einrichtung hat das Format: \\ https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Local-999-metadata.xml - wobei "999" durch eine einrichtungsspezifische Nummer zu ersetzen ist. Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter "lokale Metadaten" abgerufen werden: | Der URL für die lokalen Metadaten einer Einrichtung hat das Format: \\ https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml - wobei "999" durch eine einrichtungsspezifische Nummer zu ersetzen ist. Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter "lokale Metadaten" abgerufen werden: |
| |
{{:de:lokale_metadaten_download.png?nolink&300|}} | {{:de:lokale_metadaten_download.png?nolink&300|}} |
====== Konfiguration ====== | ====== Konfiguration ====== |
===== Shibboleth IdP 3.x ===== | ===== Shibboleth IdP 3.x ===== |
Für die lokalen Metadaten muss in /conf/metadata-providers.xml ([[de:shibidp3config#foederationsmetadaten|siehe hier]]) ein weiteres <MetadataProvider> Element hinzugefügt werden. Bitte nicht vergessen, "999" durch die korrekte Einrichtungsnummer (s.o.) zu ersetzen. Hier ein Beispiel: | Für die lokalen Metadaten muss in /conf/metadata-providers.xml ([[de:shibidp3config#foederationsmetadaten|siehe hier]]) ein weiteres <MetadataProvider> Element hinzugefügt werden. **Bitte nicht vergessen, "999" durch die korrekte Einrichtungsnummer (s.o.) zu ersetzen.** Hier ein Beispiel: |
| |
<file xml /opt/shibboleth-idp/conf/metadata-providers.xml> | <file xml /opt/shibboleth-idp/conf/metadata-providers.xml> |
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
backingFile="%{idp.home}/metadata/DFN-AAI-sp-metadata.xml" | backingFile="%{idp.home}/metadata/DFN-AAI-sp-metadata.xml" |
metadataURL="http://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml" |
maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
<!-- auf den Download der Metadaten via https kann verzichtet werden, da hier | <!-- auf den Download der Metadaten via https kann verzichtet werden, da hier |
die Signatur überprüft wird --> | die Signatur überprüft wird --> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
certificateFile="/etc/ssl/aai/dfn-aai.pem"/> | certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> |
<MetadataFilter xsi:type="EntityRoleWhiteList"> | |
<RetainedRole>md:SPSSODescriptor</RetainedRole> | |
</MetadataFilter> | |
</MetadataProvider> | </MetadataProvider> |
| |
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
backingFile="%{idp.home}/metadata/DFN-AAI-Local-999-metadata.xml" | backingFile="%{idp.home}/metadata/DFN-AAI-Local-999-metadata.xml" |
metadataURL="http://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Local-999-metadata.xml" | metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml" |
maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
certificateFile="/etc/ssl/aai/dfn-aai.pem"/> | certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> |
<MetadataFilter xsi:type="EntityRoleWhiteList"> | <MetadataFilter xsi:type="EntityRoleWhiteList"> |
<RetainedRole>md:SPSSODescriptor</RetainedRole> | <RetainedRole>md:SPSSODescriptor</RetainedRole> |
| |
===== Shibboleth SP 2.5.x ===== | ===== Shibboleth SP 2.5.x ===== |
Auch hier muss in der Konfiguration (z.B. /etc/shibboleth/shibboleth2.xml) ein entsprechendes <MetadataProvider> Element hinzugefügt werden - in der Regel (d.h. im Produktivbetrieb) ist dies auch das einzige. (Auch hier nicht vergessen, "999" durch die korrekte Einrichtungsnummer [s.o.] zu ersetzen) | Auch hier muss in der Konfiguration (z.B. /etc/shibboleth/shibboleth2.xml) ein entsprechendes <MetadataProvider> Element hinzugefügt werden - in der Regel (d.h. im Produktivbetrieb) ist dies auch das einzige. **(Auch hier nicht vergessen, "999" durch die korrekte Einrichtungsnummer [s.o.] zu ersetzen) |
| ** |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
<MetadataProvider type="Chaining"> | <MetadataProvider type="Chaining"> |
<!-- ... --> | <!-- ... --> |
<MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
uri="https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Local-999-metadata.xml" | uri="https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml" |
backingFilePath="DFN-AAI-Local-999-metadata.xml" | backingFilePath="DFN-AAI-Local-999-metadata.xml" |
reloadInterval="3600"> | reloadInterval="3600"> |
<MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | |
</MetadataProvider> | </MetadataProvider> |
</MetadataProvider> | </MetadataProvider> |