Produktivbetrieb

Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich gewesen, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden.

NB: Beachten Sie bitte, dass sich die Pfadangaben wie in den meisten Beispielen auf eine Shibboleth-Installation unter Debian-GNU/Linux beziehen. Passen Sie daher bitte ggf. die Pfade den jeweiligen lokalen Gegebenheiten an!

Mit Hilfe des Webfrontends wählen Sie in der Metadatenverwaltung die für Ihr System passende Föderation aus (Abschnitt „Föderationen“). Es wird geprüft, ob die für die Teilnahme in der DFN-AAI registrierten Metadaten den Anforderungen der gewählten Föderation genügen, insbesondere ob die verwendeten Zertifikate den Policies der DFN-AAI entsprechen. Weiterhin wird geprüft, ob bereits entsprechende Vertragsdaten hinterlegt sind. Bei positivem Befund wird die betreffende Instanz freigeschaltet.

Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des/der betreffenden IdP, SP oder Attribute Authority (AA) angepasst werden.

NB: Im folgenden beziehen sich alle Dateinamen auf die Zertifikathierarchie der Generation 2 der DFN-PKI, siehe unter Metadaten.

SP-Betreiber legen fest, welcher Verlässlichkeitsklasse ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder dfn-aai-metadata.xml oder dfn-aai-basic-metadata.xml einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse „Advanced“ erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse „Basic“ erfüllen. (IdPs der Verlässlichkeitsklasse „Advanced“ werden darum sowohl in den „Advanced“-Metadaten als auch in den „Basic“-Metadaten registriert).

IdP-Betreiber binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält.

Einen Überblick über die verfügbaren Metadatensätze bietet die Seite Metadaten.

IdP / AA SP
Advanced dfn-aai-sp-metadata.xml dfn-aai-metadata.xml
Basic dfn-aai-sp-metadata.xml
Advanced + Basic dfn-aai-basic-metadata.xml
eduGAIN dfn-aai-edugain+sp-metadata.xml dfn-aai-edugain+idp-metadata.xml
Lokale Metadaten dfn-aai-local-999-metadata.xml* dfn-aai-local-999-metadata.xml*

(* Siehe hierzu die Anmerkungen und Beispiele unter Lokale Metadaten)

Beispiel IdP

DFN-AAI: Siehe unter Föderationsmetadaten.

Für die Teilnahme in eduGAIN muss zusätzlich zu den Föderationsmetadaten der DFN-AAI ein weiterer Metadatensatz eingebunden werden:

./conf/metadata-providers.xml
<?xml version="1.0" encoding="UTF-8"?>
<MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider"
    xmlns="urn:mace:shibboleth:2.0:metadata"
    xmlns:resource="urn:mace:shibboleth:2.0:resource"
    xmlns:security="urn:mace:shibboleth:2.0:security"
    xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd
        urn:mace:shibboleth:2.0:resource http://shibboleth.net/schema/idp/shibboleth-resource.xsd
        urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd
        urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd">
 
    <!-- Metadaten aller SPs der DFN-AAI Produktivföderation -->
    <MetadataProvider id="DFN_AAI"
                  xsi:type="FileBackedHTTPMetadataProvider"
                  backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml"
                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml"
                  maxRefreshDelay="PT2H">
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/>
    </MetadataProvider>
 
    <!-- Metadaten aller SP aus eduGAIN-->
    <MetadataProvider id="DFN_AAI_eduGAIN"
                  xsi:type="FileBackedHTTPMetadataProvider"
                  backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml"
                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml"
                  maxRefreshDelay="PT2H">
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/>
    </MetadataProvider>
 
</MetadataProvider>

Beispiel SP

Kommunikation mit allen produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Adavanced und Basic) sowie allen IdPs aus eduGAIN - letztere unter Ausschluss der „Self-Signup“ IdPs (siehe auch unter Entity Attribute):

/etc/shibboleth/shibboleth2.xml
<MetadataProvider type="XML" 
      uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml"
      backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600">
   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" />
   <MetadataFilter type="EntityRoleWhiteList">
       <RetainedRole>md:IDPSSODescriptor</RetainedRole>
    </MetadataFilter>
</MetadataProvider>
 
<MetadataProvider type="XML" 
      uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml"
      backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">
   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" />
   <MetadataFilter type="Blacklist" matcher="EntityAttributes">
       <saml:Attribute Name="http://macedir.org/entity-category" 
             NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
           <saml:AttributeValue>http://aai.dfn.de/category/public-idp</saml:AttributeValue>
       </saml:Attribute>
   </MetadataFilter>
   <MetadataFilter type="EntityRoleWhiteList">
       <RetainedRole>md:IDPSSODescriptor</RetainedRole>
    </MetadataFilter>
</MetadataProvider>

Bei einem Shibboleth SP wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. Embedded Discovery Service verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden („lokale SPs“), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter Lokale Metadaten).

Lokaler SP

/etc/shibboleth/shibboleth2.xml
<SSO entityID="https://idp.beispiel-uni.de/idp/shibboleth">
   SAML2 
</SSO>

Alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic)

/etc/shibboleth/shibboleth2.xml
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf">
    SAML2
</SSO>

Alle IdPs der DFN-AAI aus der Verlässlichkeitsklassen Advanced

/etc/shibboleth/shibboleth2.xml
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI/wayf">
    SAML2
</SSO>

Alle produktiven IdPs aus der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und eduGAIN

/etc/shibboleth/shibboleth2.xml
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-eduGAIN/wayf">
    SAML2
</SSO>
  • Zuletzt geändert: vor 2 Monaten