Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:metadata_local [2019/07/19 08:41]
Wolfgang Pempe [Lokale Metadaten]
de:metadata_local [2020/04/21 16:04] (aktuell)
Silke Meyer [Shibboleth IdP]
Zeile 1: Zeile 1:
 ====== Lokale Metadaten ====== ====== Lokale Metadaten ======
 +
 +<callout color="#​ff9900"​ title="​Lokale Metadaten?">​
 +Mit einem einrichtungsspezifischen Metadatensatz binden Sie hausinterne Dienste an Ihren IdP an, ohne dass Externe sich dort anmelden können.
 +</​callout>​
 +
 Wurde an einer Einrichtung erst einmal ein IdP eingerichtet,​ entsteht schnell der Wunsch, möglichst viele einrichtungsinterne Dienste mit Service Providern auszustatten,​ um ebenfalls in den Genuss des vereinfachten User-/​Passwort-Managements zu kommen. Beispiele für solche Anwendungen sind: Wurde an einer Einrichtung erst einmal ein IdP eingerichtet,​ entsteht schnell der Wunsch, möglichst viele einrichtungsinterne Dienste mit Service Providern auszustatten,​ um ebenfalls in den Genuss des vereinfachten User-/​Passwort-Managements zu kommen. Beispiele für solche Anwendungen sind:
-  ​*     Überwachungstools (NAGIOS) + 
-  *     ​lokale ​Zertfizierungsstelle ​für Studenten+  ​*     Monitoring 
 +  *     ​lokale ​Zertifizierungsstelle ​für Studierende
   *     ​interne Bibliotheksanwendungen   *     ​interne Bibliotheksanwendungen
   *     ​interne Rechenzentrumsanwendungen   *     ​interne Rechenzentrumsanwendungen
   *     ​interne Verwaltungsanwendungen   *     ​interne Verwaltungsanwendungen
   *     ​geschützte Webserver der Hochschule   *     ​geschützte Webserver der Hochschule
-Diese Dienste aber nun einfach in einen der [[de:​metadata|föderationsweiten Metadatensätze]] ("​DFN-AAI"​ bzw. "​DFN-AAI-Basic"​) aufzunehmen,​ kommt in der Regel nicht in Frage. Diese sind explizit nur für SPs vorgesehen, die von mehreren Einrichtungen genutzt werden. Um das o.g. Szenario zu unterstützen,​ bietet die Metadatenverwaltung daher die Möglichkeit,​ einen lokalen Metadatensatz pro Einrichtung anzulegen, in den der jeweilige IdP und alle lokalen SPs aufgenommen werden. 
  
-Diese Option kann in der Metadatenverwaltung unter dem Punkt "​Vertragsdaten"​ aktiviert ​werden, allerdings erst, wenn der entsprechende Vertrag ("​Dienstvereinbarung ​DFN-AAI") vorliegtNach der Aktivierung erscheint dann in der Übersicht ​eine zusätzliche Spalte "​lokale Metadaten"​Außerdem kann der Zugriff auf die lokalen Metadaten ​auf bestimmte IP-Bereiche eingegrenzt werden.+Diese Dienste sollen i.d.R. //nicht// von anderen Einrichtungen genutzt ​werden ​können. Sie gehören daher //nicht// in die DFN-AAI ​oder die DFN-AAI-BasicDie Metadatenverwaltung bietet ​eine andere Möglichkeit:​ Sie können dort einen **lokalen Metadatensatz** generieren lassen, die **nur den IdP und die lokalen SPs Ihrer Einrichtung** enthältAlle lokalen Metadatensätze werden stündlich neu erzeugt und sind über feste URLs abrufbar. Damit ist zugleich gewährleistet,​ dass die lokalen ​SPs stets aktuelle und gültige ​Metadaten ​besitzen.
  
-Beispiel Schaltfläche "​Vertragsdaten"​\\ +Ein weiterer Vorteil für SieWenn Sie hausinterne Dienste als lokale SPs in die Metadatenverwaltung einpflegen, werden Sie vor Ablauf der Zertifikate genau so von uns informiert wie bei den Systemen in den Föderationen.
-{{:​de:​local-metadata_htaccess.png?200|}}+
  
-Die lokalen Metadatensätze werden wie die Metadatensätze ​der DFN-AAI-Föderationen einmal pro Stunde (außer um 10:00) neu erzeugt und sind ebenfalls über feste URLs abrufbar. Damit ist zugleich gewährleistet,​ dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen. ​+===== Aktivierung in der Metadatenverwaltung =====
  
-Der URL für die lokalen Metadaten einer Einrichtung hat das Format:  +Diese Option kann in der [[https://​www.aai.dfn.de/​verwaltung/|Metadatenverwaltung]] unter dem Punkt "Vertragsdaten" ​aktiviert werdenDann erscheint ​in der Übersicht eine zusätzliche Spalte ​"​lokale Metadaten"​. Außerdem kann der Zugriff auf die lokalen Metadaten auf bestimmte IP-Bereiche eingegrenzt ​werden.
-<​code>​https://​www.aai.dfn.de/​fileadmin/metadata/​dfn-aai-local-999-metadata.xml</​code>​  +
-**wobei ​"999" ​durch eine einrichtungsspezifische Nummer zu ersetzen ist.** Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter "​lokale Metadaten" ​abgerufen ​werden:+
  
-{{:de:lokale_metadaten_download.png?nolink&​300|}} +Beispiel Schaltfläche "​Vertragsdaten":​ \\ 
 +{{:de:local-metadata_htaccess.png?400|}}
  
 +Anschließend können der IdP und die gewünschten SPs in die lokalen Metadaten aufgenommen werden:
  
 +{{:​de:​metadatenverwaltung_foederationen_lokal.png?​400|}} ​
 +
 +Der URL für die lokalen Metadaten einer Einrichtung hat das Format ''​https://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-local-999-metadata.xml'',​ wobei **"​999"​ durch eine einrichtungsspezifische Nummer zu ersetzen ist.** Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter "​lokale Metadaten"​ abgerufen werden:
 +
 +{{:​de:​lokale_metadaten_download.png?​nolink&​300|}} ​
  
 ====== Konfiguration ====== ====== Konfiguration ======
-===== Shibboleth IdP 3.x ===== +===== Shibboleth IdP ===== 
-Für die lokalen Metadaten muss in /​conf/​metadata-providers.xml ​([[de:​shibidp3config#​foederationsmetadaten|siehe hier]]) ​ein weiteres <​MetadataProvider>​ Element hinzugefügt werden. ​**Bitte nicht vergessen, ​"​999"​ durch die korrekte ​Einrichtungsnummer (s.o.) ​zu ersetzen.** Hier ein Beispiel:+Für die lokalen Metadaten muss in ''​./​conf/​metadata-providers.xml'' ​ein weiteres ​''​<​MetadataProvider>​''​-Element hinzugefügt werden. ​ 
 +<callout color="#​ff9900"​ title="​Eigene Einrichtungsnummer verwenden!">​ 
 +Bitte ersetzen Sie die "​999" ​aus dem Beispiel ​durch Ihr eigene ​Einrichtungsnummer (s.o.)
 +</​callout>​
  
 <file xml /​opt/​shibboleth-idp/​conf/​metadata-providers.xml>​ <file xml /​opt/​shibboleth-idp/​conf/​metadata-providers.xml>​
Zeile 38: Zeile 50:
             metadataURL="​http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-sp-metadata.xml"​             metadataURL="​http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-sp-metadata.xml"​
             maxRefreshDelay="​PT2H">​             maxRefreshDelay="​PT2H">​
-            <!-- auf den Download der Metadaten via https kann verzichtet werden, da hier  
-                 die Signatur überprüft wird --> 
             <​MetadataFilter xsi:​type="​SignatureValidation"​ requireSignedRoot="​true"​             <​MetadataFilter xsi:​type="​SignatureValidation"​ requireSignedRoot="​true"​
                     certificateFile="/​etc/​ssl/​aai/​dfn-aai.g2.pem"/>​                     certificateFile="/​etc/​ssl/​aai/​dfn-aai.g2.pem"/>​
Zeile 59: Zeile 69:
 </​file>​ </​file>​
  
-===== Shibboleth SP 2.5.x ===== +===== Shibboleth SP ===== 
-Auch hier muss in der Konfiguration (z.B. /​etc/​shibboleth/​shibboleth2.xml) ein entsprechendes <​MetadataProvider>​ Element hinzugefügt werden - in der Regel (d.h. im Produktivbetrieb) ist dies auch das einzige. **(Auch hier nicht vergessen, "​999"​ durch die korrekte Einrichtungsnummer [s.o.] zu ersetzen) + 
-** +Beim Shibboleth SP fügt man in ''​/​etc/​shibboleth/​shibboleth2.xml''​ einen zusätzlichen Metadataprovider hinzu
-<file xml /​etc/​shibboleth/​shibboleth2.xml>​ +
-<​MetadataProvider type="​Chaining">​ +
-    <!-- ... --> +
-    <​MetadataProvider type="​XML"​ validate="​true"​ +
-          uri="​http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-local-999-metadata.xml"​ +
-          ​backingFilePath="​dfn-aai-local-999-metadata.xml"​  +
-          reloadInterval="​3600">​ +
-       <​MetadataFilter type="​Signature"​ certificate="/​etc/​ssl/​aai/​dfn-aai.g2.pem"​ /> +
-    </​MetadataProvider>​ +
-</​MetadataProvider>​ +
-</​file>​ +
-Da in den lokalen Metadaten nur ein einziger IdP enthalten ist, benötigt man für diesen Fall gar keinen Lokalisierungsdienst,​ sondern kann direkt in der Konfiguration des SP den eigenen IdP als Endpunkt für den SessionInitiator verwenden:+
 <file xml /​etc/​shibboleth/​shibboleth2.xml>​ <file xml /​etc/​shibboleth/​shibboleth2.xml>​
-<SSO entityID="https://idp.beispiel-uni.de/idp/shibboleth">​ +    ... 
-   SAML2  +   <MetadataProvider type="XML" url="​http://www.aai.dfn.de/fileadmin/metadata/​dfn-aai-local-999-metadata.xml"​ 
-</SSO>+         ​validate="​true"​ backingFilePath="​dfn-aai-local-999-metadata.xml"​ reloadInterval="​3600">​ 
 +       <​MetadataFilter type="​Signature"​ certificate="/​etc/​ssl/​aai/​dfn-aai.g2.pem"/>​ 
 +   ​</MetadataProvider> 
 +    ...
 </​file>​ </​file>​
 +{{tag>​lokale-metadaten}}
  • Zuletzt geändert: vor 12 Monaten