Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:production [2017/04/25 15:59] – Wolfgang Pempe | de:production [2018/10/08 12:42] – [Beispiel SP] Wolfgang Pempe |
---|
Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des/der betreffenden IdP, SP oder Attribute Authority (AA) angepasst werden. | Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des/der betreffenden IdP, SP oder Attribute Authority (AA) angepasst werden. |
| |
===== 2.1 MetadataProvider ===== | ===== MetadataProvider ===== |
| |
**NB:** Im folgenden beziehen sich alle Dateinamen auf die Zertifikathierarchie der Generation 2 der DFN-PKI, siehe unter [[de:metadata|Metadaten]]. | **NB:** Im folgenden beziehen sich alle Dateinamen auf die Zertifikathierarchie der Generation 2 der DFN-PKI, siehe unter [[de:metadata|Metadaten]]. |
| |
**SP-Betreiber** legen fest, welcher [[https://www.aai.dfn.de/der-dienst/verlaesslichkeitsklassen/|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert). | **SP-Betreiber** legen fest, welcher [[de:degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert). |
| |
**IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält. | **IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält. |
^ Advanced + Basic | -- | ''dfn-aai-basic-metadata.xml'' | | ^ Advanced + Basic | -- | ''dfn-aai-basic-metadata.xml'' | |
^ eduGAIN | ''dfn-aai-edugain+sp-metadata.xml'' | ''dfn-aai-edugain+idp-metadata.xml'' | | ^ eduGAIN | ''dfn-aai-edugain+sp-metadata.xml'' | ''dfn-aai-edugain+idp-metadata.xml'' | |
^ Lokale Metadaten* | ''dfn-aai-local-999-metadata.xml'' | ''dfn-aai-local-999-metadata.xml'' | | ^ Lokale Metadaten | ''dfn-aai-local-999-metadata.xml''* | ''dfn-aai-local-999-metadata.xml''* | |
(* Siehe hierzu die Anmerkungen und **Beispiele** unter [[de:metadata_local|Lokale Metadaten]]) | (* Siehe hierzu die Anmerkungen und **Beispiele** unter [[de:metadata_local|Lokale Metadaten]]) |
| |
| |
<MetadataProvider type="XML" | <MetadataProvider type="XML" |
uri="https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml" | uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml" |
backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> |
| |
<MetadataProvider type="XML" | <MetadataProvider type="XML" |
uri="https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" | uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" |
backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> |
</file> | </file> |
| |
===== 2.2 Discovery Service ===== | ===== Discovery Service ===== |
Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibeds|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:metadata_local|Lokale Metadaten]]). | Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibeds|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:metadata_local|Lokale Metadaten]]). |
| |
</file> | </file> |
| |
**Alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und aus eduGAIN** | **Alle produktiven IdPs aus der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und eduGAIN** |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-eduGAIN/wayf"> | <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-eduGAIN/wayf"> |