Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:production [2017/05/03 11:48] Wolfgang Pempede:production [2020/04/23 10:41] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden 193.175.73.216
Zeile 1: Zeile 1:
 ======= Produktivbetrieb ======= ======= Produktivbetrieb =======
  
-Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich gewesen, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. +Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. (Die Pfadangaben in den Beispielen beziehen sich auf eine Shibboleth-Installation unter Debian-GNU/Linux. Passen Sie die bitte an Ihre lokalen Gegebenheiten an.)
- +
-**NB:** Beachten Sie bitte, dass sich die Pfadangaben wie in den meisten Beispielen auf eine Shibboleth-Installation unter Debian-GNU/Linux beziehen. Passen Sie daher bitte ggf. die Pfade den jeweiligen lokalen Gegebenheiten an!+
  
 ===== 1. Metadatenverwaltung ===== ===== 1. Metadatenverwaltung =====
 +Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/metadaten/| Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann.
  
-Mit Hilfe des Webfrontends wählen Sie in der Metadatenverwaltung die für Ihr System passende Föderation aus (Abschnitt "Föderationen"). Es wird geprüftob die für die Teilnahme in der DFN-AAI registrierten Metadaten den Anforderungen der gewählten Föderation genügen, insbesondere ob die verwendeten Zertifikate den Policies der DFN-AAI entsprechen. Weiterhin wird geprüft, ob bereits entsprechende Vertragsdaten hinterlegt sind. Bei positivem Befund wird die betreffende Instanz freigeschaltet.+In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus (siehe [[de:degrees_of_reliance|Verlässlichkeitsklassen]]).
  
-===== 2Anpassung der Konfiguration =====+{{:de:aai:mdv-produktiv.png?600}}
  
-Um in der Produktivumgebung mit anderen Entities kommunizieren zu könnenmuss die Konfiguration des/der betreffenden IdPSP oder Attribute Authority (AA) angepasst werden.+Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt: 
 + 
 +{{:de:aai:mdv-produktiv-pending.png?600}} 
 + 
 +Wir prüfen vor der Produktivschaltungob die Metadateninsbesondere die Zertifikate, gemäß unseren Policies eingetragen wurdenZur Unterstützung beim Ausfüllen haben wir übrigens eine [[de:checklist|Checkliste]]. 
 + 
 +===== 2. Anpassung der Konfiguration =====
  
-===== MetadataProvider =====+Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des IdP, SP oder der Attribute Authority (AA) angepasst werden.
  
-**NB:** Im folgenden beziehen sich alle Dateinamen auf die Zertifikathierarchie der Generation 2 der DFN-PKI, siehe unter [[de:metadata|Metadaten]].+==== MetadataProvider auswählen ====
  
-**SP-Betreiber** legen fest, welcher [[https://www.aai.dfn.de/der-dienst/verlaesslichkeitsklassen/|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert).+**SP-Betreiber** legen fest, welcher [[de:degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert).
  
 **IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält. **IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält.
Zeile 29: Zeile 34:
 ^ eduGAIN           | ''dfn-aai-edugain+sp-metadata.xml'' | ''dfn-aai-edugain+idp-metadata.xml'' | ^ eduGAIN           | ''dfn-aai-edugain+sp-metadata.xml'' | ''dfn-aai-edugain+idp-metadata.xml'' |
 ^ Lokale Metadaten  | ''dfn-aai-local-999-metadata.xml''* | ''dfn-aai-local-999-metadata.xml'' | ^ Lokale Metadaten  | ''dfn-aai-local-999-metadata.xml''* | ''dfn-aai-local-999-metadata.xml'' |
-(* Siehe hierzu die Anmerkungen und **Beispiele** unter [[de:metadata_local|Lokale Metadaten]])+(* Siehe hierzu die Anmerkungen und Beispiele unter [[de:metadata_local|Lokale Metadaten]])
  
 ==== Beispiel IdP ==== ==== Beispiel IdP ====
 +<callout color="#ff9900" title="Metadaten-URLs">
 +Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde.
 +</callout>
 +
 **DFN-AAI:** Siehe unter [[de:shibidp3config-metadata|Föderationsmetadaten]]. **DFN-AAI:** Siehe unter [[de:shibidp3config-metadata|Föderationsmetadaten]].
  
Zeile 56: Zeile 65:
                   maxRefreshDelay="PT2H">                   maxRefreshDelay="PT2H">
             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
-                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/>+                  certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
     </MetadataProvider>     </MetadataProvider>
          
Zeile 66: Zeile 75:
                   maxRefreshDelay="PT2H">                   maxRefreshDelay="PT2H">
             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
-                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/>+                  certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
     </MetadataProvider>     </MetadataProvider>
  
Zeile 73: Zeile 82:
  
 ==== Beispiel SP ==== ==== Beispiel SP ====
 +<callout color="#ff9900" title="Metadaten-URLs">
 +Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde.
 +</callout>
  
-Kommunikation mit allen produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Adavanced und Basic) sowie allen IdPs aus eduGAIN - letztere unter Ausschluss der "Self-Signup" IdPs (siehe auch unter [[de:entity_attributes|Entity Attribute]]):+Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Adavanced und Basic) sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können:
  
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
  
-<MetadataProvider type="XML"  +<MetadataProvider type="XML" validate="true
-      uri="https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml"+      url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml"
       backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600">       backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600">
-   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" />+   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="EntityRoleWhiteList">    <MetadataFilter type="EntityRoleWhiteList">
        <RetainedRole>md:IDPSSODescriptor</RetainedRole>        <RetainedRole>md:IDPSSODescriptor</RetainedRole>
Zeile 87: Zeile 99:
 </MetadataProvider> </MetadataProvider>
  
-<MetadataProvider type="XML"  +<MetadataProvider type="XML" validate="true
-      uri="https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml"+      url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml"
       backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">       backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">
-   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" />+   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="Blacklist" matcher="EntityAttributes">    <MetadataFilter type="Blacklist" matcher="EntityAttributes">
        <saml:Attribute Name="http://macedir.org/entity-category"         <saml:Attribute Name="http://macedir.org/entity-category" 
Zeile 97: Zeile 109:
        </saml:Attribute>        </saml:Attribute>
    </MetadataFilter>    </MetadataFilter>
-   <MetadataFilter type="EntityRoleWhiteList"> 
-       <RetainedRole>md:IDPSSODescriptor</RetainedRole> 
-    </MetadataFilter> 
 </MetadataProvider> </MetadataProvider>
 </file> </file>
  
-===== Discovery Service ===== +=== Discovery Service === 
-Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibeds|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:metadata_local|Lokale Metadaten]]).+Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:metadata_local|Lokale Metadaten]]).
  
 **Lokaler SP** **Lokaler SP**
Zeile 133: Zeile 142:
 </SSO> </SSO>
 </file> </file>
 +
 +** Wenn Sie auf diese Seite sind, weil Sie der Schritt-für-Schritt-Anleitung für die IdP-Inbetriebnahme gefolgt sind, geht es jetzt weiter mit den [[de:shibidp:config-attributes|Attribut-Konfigurationen in der DFN-AAI]].**
 +
 +{{tag>idp4 tutorial discovery}}
  • Zuletzt geändert: vor 6 Wochen