| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:metadata_local [2016/07/01 15:04] – [Shibboleth SP 2.5.x] Wolfgang Pempe | de:metadata_local [2018/04/12 11:52] – Wolfgang Pempe |
|---|
| {{:de:local-metadata_htaccess.png?200|}} | {{:de:local-metadata_htaccess.png?200|}} |
| |
| Die lokalen Metadatensätze werden wie die Metadatensätze der DFN-AAI-Föderationen einmal pro Stunde neu erzeugt und sind ebenfalls über feste URLs abrufbar. Damit ist zugleich gewährleistet, dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen. | Die lokalen Metadatensätze werden wie die Metadatensätze der DFN-AAI-Föderationen einmal pro Stunde (außer um 10:00) neu erzeugt und sind ebenfalls über feste URLs abrufbar. Damit ist zugleich gewährleistet, dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen. |
| |
| Der URL für die lokalen Metadaten einer Einrichtung hat das Format: \\ https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Local-999-metadata.xml - wobei "999" durch eine einrichtungsspezifische Nummer zu ersetzen ist. Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter "lokale Metadaten" abgerufen werden: | Der URL für die lokalen Metadaten einer Einrichtung hat das Format: \\ https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml - wobei "999" durch eine einrichtungsspezifische Nummer zu ersetzen ist. Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter "lokale Metadaten" abgerufen werden: |
| |
| {{:de:lokale_metadaten_download.png?nolink&300|}} | {{:de:lokale_metadaten_download.png?nolink&300|}} |
| ====== Konfiguration ====== | ====== Konfiguration ====== |
| ===== Shibboleth IdP 3.x ===== | ===== Shibboleth IdP 3.x ===== |
| Für die lokalen Metadaten muss in /conf/metadata-providers.xml ([[de:shibidp3config#foederationsmetadaten|siehe hier]]) ein weiteres <MetadataProvider> Element hinzugefügt werden. Bitte nicht vergessen, "999" durch die korrekte Einrichtungsnummer (s.o.) zu ersetzen. Hier ein Beispiel: | Für die lokalen Metadaten muss in /conf/metadata-providers.xml ([[de:shibidp3config#foederationsmetadaten|siehe hier]]) ein weiteres <MetadataProvider> Element hinzugefügt werden. **Bitte nicht vergessen, "999" durch die korrekte Einrichtungsnummer (s.o.) zu ersetzen.** Hier ein Beispiel: |
| |
| <file xml /opt/shibboleth-idp/conf/metadata-providers.xml> | <file xml /opt/shibboleth-idp/conf/metadata-providers.xml> |
| xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
| backingFile="%{idp.home}/metadata/DFN-AAI-sp-metadata.xml" | backingFile="%{idp.home}/metadata/DFN-AAI-sp-metadata.xml" |
| metadataURL="http://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml" |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <!-- auf den Download der Metadaten via https kann verzichtet werden, da hier | <!-- auf den Download der Metadaten via https kann verzichtet werden, da hier |
| die Signatur überprüft wird --> | die Signatur überprüft wird --> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| certificateFile="/etc/ssl/aai/dfn-aai.pem"/> | certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> |
| <MetadataFilter xsi:type="EntityRoleWhiteList"> | |
| <RetainedRole>md:SPSSODescriptor</RetainedRole> | |
| </MetadataFilter> | |
| </MetadataProvider> | </MetadataProvider> |
| |
| xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
| backingFile="%{idp.home}/metadata/DFN-AAI-Local-999-metadata.xml" | backingFile="%{idp.home}/metadata/DFN-AAI-Local-999-metadata.xml" |
| metadataURL="http://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Local-999-metadata.xml" | metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml" |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| certificateFile="/etc/ssl/aai/dfn-aai.pem"/> | certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> |
| <MetadataFilter xsi:type="EntityRoleWhiteList"> | <MetadataFilter xsi:type="EntityRoleWhiteList"> |
| <RetainedRole>md:SPSSODescriptor</RetainedRole> | <RetainedRole>md:SPSSODescriptor</RetainedRole> |
| |
| ===== Shibboleth SP 2.5.x ===== | ===== Shibboleth SP 2.5.x ===== |
| Auch hier muss in der Konfiguration (z.B. /etc/shibboleth/shibboleth2.xml) ein entsprechendes <MetadataProvider> Element hinzugefügt werden - in der Regel (d.h. im Produktivbetrieb) ist dies auch das einzige. (Auch hier nicht vergessen, "999" durch die korrekte Einrichtungsnummer [s.o.] zu ersetzen) | Auch hier muss in der Konfiguration (z.B. /etc/shibboleth/shibboleth2.xml) ein entsprechendes <MetadataProvider> Element hinzugefügt werden - in der Regel (d.h. im Produktivbetrieb) ist dies auch das einzige. **(Auch hier nicht vergessen, "999" durch die korrekte Einrichtungsnummer [s.o.] zu ersetzen) |
| | ** |
| <file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
| <MetadataProvider type="Chaining"> | <MetadataProvider type="Chaining"> |
| <!-- ... --> | <!-- ... --> |
| <MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
| uri="https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Local-999-metadata.xml" | uri="https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml" |
| backingFilePath="DFN-AAI-Local-999-metadata.xml" | backingFilePath="DFN-AAI-Local-999-metadata.xml" |
| reloadInterval="3600"> | reloadInterval="3600"> |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> |
| </MetadataProvider> | </MetadataProvider> |
| </MetadataProvider> | </MetadataProvider> |