Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:production [2022/04/14 14:24] – Wolfgang Pempe | de:production [2024/07/26 15:17] (aktuell) – [Beispiel IdP] Link zum Shib-Wiki aktualisiert Doreen Liebenau |
---|
Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann. | Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann. |
| |
In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus (siehe [[:de:degrees_of_reliance|Verlässlichkeitsklassen]]). | In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus. |
| |
{{:de:aai:mdv-produktiv.png?600}} | {{:de:metadata_admin_tool:mdv-produktiv-neuemdv-de.png?1400|}} |
| |
Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt: | Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt: |
| |
{{:de:aai:mdv-produktiv-pending.png?600}} | {{:de:metadata_admin_tool:mdv-produktiv-pending-neuemdv-de.png?1400|}} |
| |
Wir prüfen vor der Produktivschaltung, ob die Metadaten, insbesondere die Zertifikate, gemäß unseren Policies eingetragen wurden. Zur Unterstützung beim Ausfüllen haben wir übrigens eine [[:de:checklist|Checkliste]]. | Wir prüfen vor der Produktivschaltung, ob die Metadaten, insbesondere die Zertifikate, gemäß unseren Policies eingetragen wurden. Zur Unterstützung beim Ausfüllen haben wir übrigens eine [[:de:checklist|Checkliste]]. |
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" |
metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml" |
maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" |
metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" |
maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
</file> | </file> |
| |
Zur Konfiguration von **Metadata Filters** siehe die [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631643/MetadataFilterConfiguration|Dokumentation im Shibboleth Wiki]]. | Zur Konfiguration von **Metadata Filters** siehe die [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199507005/MetadataFilterConfiguration|Dokumentation im Shibboleth Wiki]]. |
| |
**Hinweis zu den eduGAIN-Metadaten:** | **Hinweis zu den eduGAIN-Metadaten:** |
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" |
metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" |
maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" |
metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" |
maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
</file> | </file> |
==== Beispiel SP ==== | ==== Beispiel SP ==== |
| |
| <callout type="danger" title="Hinweis zur Konfiguration: Im Sessions-Element unbedingt redirectLimit auf 'host' oder 'exact' setzen!"> |
| Achten Sie bitte unbedingt darauf, dass in **''shibboleth2.xml''** in allen **''<Sessions>''**-Elementen das XML-Attribut **''redirectLimit''** |
| - gesetzt wird und |
| - den Wert **''host''** oder **''exact''** erhält! (ggf. in Kombination mit ''allow'') |
| Auf diese Weise wird ein Problem mit offenen Weiterleitungen ("Open Redirect") verhindert, das bspw. Phishing-Angriffe wirkungsvoller machen kann, vgl. https://shibboleth.atlassian.net/browse/SSPCPP-714. |
| Weitere Informationen zu Konfigurationsmöglichkeiten für das ''<Sessions>''-Element sind im [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334342/Sessions|Shibboleth-Wiki dokumentiert]]. |
| </callout> |
| |
<callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> | <callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> |
| |
Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI ([[de:degrees_of_reliance|Verlässlichkeitsklassen]] Advanced und Basic) sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können: | Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können: |
| |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
<MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" |
backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> |
</MetadataProvider> | </MetadataProvider> |
| |
<MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml" |
backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> |
<MetadataFilter type="Exclude" matcher="EntityAttributes"> | <MetadataFilter type="Exclude" matcher="EntityAttributes"> |
<saml:Attribute Name="http://macedir.org/entity-category" | <saml:Attribute Name="http://macedir.org/entity-category" |
</file> | </file> |
| |
Das folgende Beispiel zeigt, wie ausschließlich die produktiven IdPs der DFN-AAI eingebunden werden, die die Anforderungen der Verlässlichkeitsklassen Advanced erfüllen: | |
| |
<file xml /etc/shibboleth/shibboleth2.xml> | |
<MetadataProvider type="XML" validate="true" | |
url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml" | |
backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> | |
<MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | |
<MetadataFilter type="Include" matcher="EntityAttributes"> | |
<saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> | |
<saml:AttributeValue>advanced</saml:AttributeValue> | |
</saml:Attribute> | |
</MetadataFilter> | |
</MetadataProvider> | |
| |
</file> | |
| |
Für weitere Metadata Filter z.B. anhand der jeweiligen Föderation aus eduGAIN (Registration Authority) siehe unter [[de:shibsp#filtermechanismen|Shibboleth SP - Filtermechanismen]]. | Für weitere Metadata Filter z.B. anhand der jeweiligen Föderation aus eduGAIN (Registration Authority) siehe unter [[de:shibsp#filtermechanismen|Shibboleth SP - Filtermechanismen]]. |
=== Discovery Service === | === Discovery Service === |
| |
Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]). | Bei einem **Shibboleth SP** kann der zentrale Discovery Service (WAYF) genutzt werden, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]). |
| |
**Lokaler SP** | **Lokaler SP** |
</file> | </file> |
| |
**Alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic)** | **Alle produktiven IdPs der DFN-AAI** |
| |
<file xml /etc/shibboleth/shibboleth2.xml> | |
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf"> | |
SAML2 | |
</SSO> | |
| |
</file> | |
| |
**Alle IdPs der DFN-AAI aus der Verlässlichkeitsklassen Advanced** | |
| |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
</file> | </file> |
| |
**Alle produktiven IdPs aus der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und eduGAIN** | **Alle produktiven IdPs aus der DFN-AAI und aus eduGAIN** |
| |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
</file> | </file> |
| |
{{tag>idp4 tutorial discovery produktivbetrieb metadata mdvdoku}} | {{tag>idp4 tutorial discovery produktivbetrieb metadata wayf}} |
| |
| |