Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis Lokale Metadaten Aktivierung in der Metadatenverwaltung Konfiguration Shibboleth IdP Shibboleth SP ← Produktivbetrieb Attributes in a Nutshell → Dies ist eine alte Version des Dokuments! ← Produktivbetrieb Überblick: Tutorial zur IdP-Inbetriebnahme Attributes in a Nutshell → Lokale Metadaten Wurde an einer Einrichtung erst einmal ein IdP eingerichtet, entsteht schnell der Wunsch, möglichst viele einrichtungsinterne Dienste mit Service Providern auszustatten, um ebenfalls in den Genuss des vereinfachten User-/Passwort-Managements zu kommen. Beispiele für solche Anwendungen sind: Monitoring lokale Zertifizierungsstelle für Studierende interne Bibliotheksanwendungen interne Rechenzentrumsanwendungen interne Verwaltungsanwendungen geschützte Webserver der Hochschule Diese Dienste aber nun einfach in einen der föderationsweiten Metadatensätze („DFN-AAI“ bzw. „DFN-AAI-Basic“) aufzunehmen, kommt in der Regel nicht in Frage. Diese sind explizit nur für SPs vorgesehen, die von mehreren Einrichtungen genutzt werden. Um das o.g. Szenario zu unterstützen, bietet die Metadatenverwaltung daher die Möglichkeit, einen lokalen Metadatensatz pro Einrichtung anzulegen, in den der jeweilige IdP und alle lokalen SPs aufgenommen werden. Aktivierung in der Metadatenverwaltung Diese Option kann in der Metadatenverwaltung unter dem Punkt „Vertragsdaten“ aktiviert werden. Dann erscheint in der Übersicht eine zusätzliche Spalte „lokale Metadaten“. Außerdem kann der Zugriff auf die lokalen Metadaten auf bestimmte IP-Bereiche eingegrenzt werden. Beispiel Schaltfläche „Vertragsdaten“: Anschließend können der IdP und die gewünschten SPs in die lokalen Metadaten aufgenommen werden: Die lokalen Metadatensätze werden wie die Metadatensätze der DFN-AAI-Föderationen einmal pro Stunde (außer um 10:00) neu erzeugt und sind ebenfalls über feste URLs abrufbar. Damit ist zugleich gewährleistet, dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen. Der URL für die lokalen Metadaten einer Einrichtung hat das Format: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml wobei „999“ durch eine einrichtungsspezifische Nummer zu ersetzen ist. Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter „lokale Metadaten“ abgerufen werden: Konfiguration Shibboleth IdP Für die lokalen Metadaten muss in ./conf/metadata-providers.xml ein weiteres <MetadataProvider> Element hinzugefügt werden. Eigene Einrichtungsnummer verwenden!Bitte ersetzen Sie die „999“ aus dem Beispiel durch Ihr eigene Einrichtungsnummer (s.o.)! /opt/shibboleth-idp/conf/metadata-providers.xml <MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" ...> <!-- ... --> <MetadataProvider id="DFN_AAI" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml" maxRefreshDelay="PT2H"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> </MetadataProvider> <MetadataProvider id="DFN_AAI_Local" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/dfn-aai-local-999-metadata.xml" metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml" maxRefreshDelay="PT2H"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> </MetadataProvider> Shibboleth SP Beim Shibboleth SP fügt man in /etc/shibboleth/shiboleth2.xml einen zusätzlichen Metadataprovider hinzu: <file xml /etc/shibboleth/shibboleth2.xml> ... <MetadataProvider type="XML" validate="true" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml" backingFilePath="dfn-aai-local-999-metadata.xml" maxRefreshDelay="600"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" verifyBackup="false"/> <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true" attributeName="http://macedir.org/entity-category" attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> </MetadataProvider> lokale-metadaten lokale-metadaten metadata Zuletzt geändert: vor 4 Jahren Anmelden