Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:production [2020/09/16 15:14] – Wolfgang Pempe | de:production [2022/03/03 18:05] – [Beispiel IdP] Wolfgang Pempe |
---|
| <- de:shibidp:config-encryption|Konfiguration des Verschlüsselungsalgorithmus ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-attributes|Anpassung der Attribut-Konfiguration -> |
====== Produktivbetrieb ====== | ====== Produktivbetrieb ====== |
| |
==== MetadataProvider auswählen ==== | ==== MetadataProvider auswählen ==== |
| |
**SP-Betreiber** legen fest, welcher [[:de:degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert). | **SP-Betreiber** legen fest, welcher [[:de:degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-idp-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert). |
| |
**IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält. | **IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält. |
^Advanced |''dfn-aai-sp-metadata.xml'' |''dfn-aai-metadata.xml'' | | ^Advanced |''dfn-aai-sp-metadata.xml'' |''dfn-aai-metadata.xml'' | |
^Basic |''dfn-aai-sp-metadata.xml'' |– | | ^Basic |''dfn-aai-sp-metadata.xml'' |– | |
^Advanced + Basic |– |''dfn-aai-basic-metadata.xml'' | | ^Advanced + Basic |– |''dfn-aai-idp-metadata.xml'' | |
^eduGAIN |''dfn-aai-edugain+sp-metadata.xml'' |''dfn-aai-edugain+idp-metadata.xml'' | | ^eduGAIN |''dfn-aai-edugain+sp-metadata.xml'' |''dfn-aai-edugain+idp-metadata.xml'' | |
^Lokale Metadaten |''dfn-aai-local-999-metadata.xml''*|''dfn-aai-local-999-metadata.xml''* | | ^Lokale Metadaten |''dfn-aai-local-999-metadata.xml''*|''dfn-aai-local-999-metadata.xml''* | |
<callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> | <callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> |
| |
**DFN-AAI:** Siehe unter [[:de:shibidp3config-metadata|Föderationsmetadaten]]. | **DFN-AAI:** Siehe unter [[de:shibidp:config-metadata|Föderationsmetadaten]]. |
| |
Für die Teilnahme in **eduGAIN** muss **zusätzlich zu den Föderationsmetadaten der DFN-AAI** ein weiterer Metadatensatz eingebunden werden: | Für die Teilnahme in **eduGAIN** muss **zusätzlich zu den Föderationsmetadaten der DFN-AAI** ein weiterer Metadatensatz eingebunden werden: |
</file> | </file> |
| |
| Zur Konfiguration von **Metadata Filters** siehe die [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631643/MetadataFilterConfiguration|Dokumentation im Shibboleth Wiki]]. |
| |
| **Hinweis zu den eduGAIN-Metadaten:** |
| |
| Zusätzlich zu <code><mdrpi:RegistrationInfo registrationAuthority="..."></code> wird die jeweilige Heimatföderation in eduGAIN über das DFN-AAI-spezifische Entity Attribut ''<saml:Attribute Name="http://aai.dfn.de/edugain/registrationAuthority">'' markiert, was etwaiges Filtern erleichtern soll. Die jeweiligen Kürzel für die Föderationen bzw. Registration Authorities sind unter https://technical.edugain.org/status dokumentiert. Ein Klick auf den jeweiligen Föderationsnamen öffnet ein Fenster mit allen relevanten Informationen. |
| |
| Im folgenden ein Beispiel, in dem Entities aus zwei fiktive Föderationen aus den importierten eduGAIN-Metadaten entfernt werden: |
| |
| <file xml ./conf/metadata-providers.xml> |
| ... |
| <MetadataProvider id="DFN_AAI_eduGAIN" |
| xsi:type="FileBackedHTTPMetadataProvider" |
| backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" |
| metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml" |
| maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| certificateFile="/etc/ssl/aai/dfn-aai.pem"/> |
| <MetadataFilter xsi:type="Predicate" direction="exclude" removeEmptyEntitiesDescriptors="true" trim="true"> |
| <Tag name="http://aai.dfn.de/edugain/registrationAuthority" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| <Value>http://xyz.qq</Value> |
| <Value>http://zyx.ww</Value> |
| </Tag> |
| </MetadataFilter> |
| </MetadataProvider> |
| ... |
| </file> |
==== Beispiel SP ==== | ==== Beispiel SP ==== |
| |
<callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> | <callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> |
| |
Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Adavanced und Basic) sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können: | Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced und Basic) sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können: |
| |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
<MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml" | url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml" |
backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> |
<MetadataFilter type="EntityRoleWhiteList"> | <MetadataFilter type="EntityRole"> |
<RetainedRole>md:IDPSSODescriptor</RetainedRole> | <RetainedRole>md:IDPSSODescriptor</RetainedRole> |
</MetadataFilter> | </MetadataFilter> |
backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> |
<MetadataFilter type="Blacklist" matcher="EntityAttributes"> | <MetadataFilter type="Exclude" matcher="EntityAttributes"> |
<saml:Attribute Name="http://macedir.org/entity-category" | <saml:Attribute Name="http://macedir.org/entity-category" |
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> | NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> |
| |
</file> | </file> |
| |
| Für weitere Metadata Filter z.B. anhand der jeweiligen Föderation aus eduGAIN (Registration Authority) siehe unter [[de:shibsp#filtermechanismen|Shibboleth SP - Filtermechanismen]]. |
| |
=== Discovery Service === | === Discovery Service === |
SAML2 | SAML2 |
</SSO> | </SSO> |
| |
</file> | </file> |
| |
**Wenn Sie auf diese Seite sind, weil Sie der Schritt-für-Schritt-Anleitung für die IdP-Inbetriebnahme gefolgt sind, geht es jetzt weiter mit den [[:de:shibidp:config-attributes|Attribut-Konfigurationen in der DFN-AAI]].** | **Für den Fall, dass zwischenzeitig die //Testföderation// genutzt werden soll:** |
| <file xml /etc/shibboleth/shibboleth2.xml> |
| <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Test/wayf"> |
| SAML2 |
| </SSO> |
| </file> |
| |
{{tag>idp4 tutorial discovery}} | {{tag>idp4 tutorial discovery produktivbetrieb metadata}} |
| |
| |