Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:production [2017/04/25 15:08] Wolfgang Pempede:production [2024/02/15 10:06] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 +<- de:shibidp:config-encryption|Konfiguration des Verschlüsselungsalgorithmus ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-attributes|Anpassung der Attribut-Konfiguration ->
 ====== Produktivbetrieb ====== ====== Produktivbetrieb ======
  
-Ist der Funktionstest Ihres IdP oder SP in der Testföderation erfolgreich gewesen, können Sie die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführen. +Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden(Die Pfadangaben in den Beispielen beziehen sich auf eine Shibboleth-Installation unter Debian-GNU/Linux. Passen Sie die bitte an Ihre lokalen Gegebenheiten an.)
- +
-**NB:** Beachten Sie bitte, dass sich die Pfadangaben wie in den meisten Beispielen auf eine Shibboleth-Installation unter Debian-GNU/Linux beziehen. Passen Sie daher bitte ggf. die Pfade den jeweiligen lokalen Gegebenheiten an!+
  
 ===== 1. Metadatenverwaltung ===== ===== 1. Metadatenverwaltung =====
  
-Mit Hilfe des Webfrontends wählen Sie in der Metadatenverwaltung die für Ihr System die passende Föderation aus (Abschnitt "Föderationen")Es wird geprüft, ob die für die Teilnahme in der DFN-AAI registrierten Metadaten den Anforderungen der gewählten Föderation genügen, insbesondere ob die verwendeten Zertifikate den Policies der DFN-AAI entsprechenWeiterhin wird geprüft, ob bereits entsprechende Vertragsdaten hinterlegt sind. Bei positivem Befund wird die betreffende Instanz freigeschaltet.+Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann. 
 + 
 +In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus. 
 + 
 +{{:de:metadata_admin_tool:mdv-produktiv-neuemdv-de.png?1400|}} 
 + 
 +Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt: 
 + 
 +{{:de:metadata_admin_tool:mdv-produktiv-pending-neuemdv-de.png?1400|}} 
 + 
 +Wir prüfen vor der Produktivschaltung, ob die Metadaten, insbesondere die Zertifikate, gemäß unseren Policies eingetragen wurdenZur Unterstützung beim Ausfüllen haben wir übrigens eine [[:de:checklist|Checkliste]].
  
 ===== 2. Anpassung der Konfiguration ===== ===== 2. Anpassung der Konfiguration =====
  
-Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des/der betreffenden IdP, SP oder Attribute Authority (AA) angepasst werden.+Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des IdP, SP oder der Attribute Authority (AA) angepasst werden. 
 + 
 +==== MetadataProvider auswählen ==== 
 + 
 +**SP-Betreiber** binden mindestens den Metadatensatz ein, der alle produktiven IdP der DFN-AAI enthält. 
 + 
 +**IdP-Betreiber** binden mindestens den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält. 
 + 
 +Einen Überblick über die verfügbaren Metadatensätze bietet die Seite [[:de:metadata|Metadaten]]. 
 + 
 +|   ^IdP / AA  ^SP  | 
 +^DFN-AAI  |''dfn-aai-sp-metadata.xml''   |''dfn-aai-idp-metadata.xml''   | 
 +^eduGAIN  |''dfn-aai-edugain+sp-metadata.xml'' |''dfn-aai-edugain+idp-metadata.xml''
 +^Lokale Metadaten  |''dfn-aai-local-999-metadata.xml''*|''dfn-aai-local-999-metadata.xml''
 + 
 +(* Siehe hierzu die Anmerkungen und Beispiele unter [[:de:metadata_local|Lokale Metadaten]]) 
 + 
 +==== Beispiel IdP ==== 
 + 
 +<callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> 
 + 
 +**DFN-AAI:** Siehe unter [[de:shibidp:config-metadata|Föderationsmetadaten]]. 
 + 
 +Für die Teilnahme in **eduGAIN** muss **zusätzlich zu den Föderationsmetadaten der DFN-AAI** ein weiterer Metadatensatz eingebunden werden: 
 + 
 +<file xml ./conf/metadata-providers.xml> 
 +<?xml version="1.0" encoding="UTF-8"?> 
 +<MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" 
 +    xmlns="urn:mace:shibboleth:2.0:metadata" 
 +    xmlns:resource="urn:mace:shibboleth:2.0:resource" 
 +    xmlns:security="urn:mace:shibboleth:2.0:security" 
 +    xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" 
 +    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 +    xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd 
 +        urn:mace:shibboleth:2.0:resource http://shibboleth.net/schema/idp/shibboleth-resource.xsd 
 +        urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd 
 +        urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd"> 
 + 
 +    <!-- Metadaten aller SPs der DFN-AAI Produktivföderation --> 
 +    <MetadataProvider id="DFN_AAI" 
 +                  xsi:type="FileBackedHTTPMetadataProvider" 
 +                  backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" 
 +                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml" 
 +                  maxRefreshDelay="PT2H"> 
 +            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
 +                  certificateFile="/etc/ssl/aai/dfn-aai.pem"/> 
 +    </MetadataProvider> 
 + 
 +    <!-- Metadaten aller SP aus eduGAIN--> 
 +    <MetadataProvider id="DFN_AAI_eduGAIN" 
 +                  xsi:type="FileBackedHTTPMetadataProvider" 
 +                  backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" 
 +                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" 
 +                  maxRefreshDelay="PT2H"> 
 +            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
 +                  certificateFile="/etc/ssl/aai/dfn-aai.pem"/> 
 +    </MetadataProvider> 
 + 
 +</MetadataProvider> 
 + 
 +</file> 
 + 
 +Zur Konfiguration von **Metadata Filters** siehe die [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631643/MetadataFilterConfiguration|Dokumentation im Shibboleth Wiki]]. 
 + 
 +**Hinweis zu den eduGAIN-Metadaten:** 
 + 
 +Zusätzlich zu ''<mdrpi:RegistrationInfo registrationAuthority="...">'' wird die jeweilige Heimatföderation in eduGAIN über das DFN-AAI-spezifische Entity Attribut ''http://aai.dfn.de/edugain/registrationAuthority'' markiert, was etwaiges Filtern erleichtern soll. Die jeweiligen Kürzel für die Föderationen bzw. Registration Authorities sind unter https://technical.edugain.org/status dokumentiert. Ein Klick auf den jeweiligen Föderationsnamen öffnet ein Fenster mit allen relevanten Informationen.  
 + 
 + 
 +Im folgenden ein Beispiel, bei dem nur Service Provider aus der SWITCHaai (CH) und ACOnet Identity Federation (AT) aus den importierten eduGAIN-Metadaten zugelassen werden: 
 + 
 +<file xml ./conf/metadata-providers.xml> 
 +... 
 +    <MetadataProvider id="DFN_AAI_eduGAIN" 
 +                  xsi:type="FileBackedHTTPMetadataProvider" 
 +                  backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" 
 +                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" 
 +                  maxRefreshDelay="PT2H"> 
 +            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
 +                  certificateFile="/etc/ssl/aai/dfn-aai.pem"/> 
 +            <MetadataFilter xsi:type="Predicate" direction="include" removeEmptyEntitiesDescriptors="true" trim="true"> 
 +                  <Tag name="http://aai.dfn.de/edugain/registrationAuthority" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> 
 +                       <Value>http://rr.aai.switch.ch/</Value> 
 +                       <Value>http://eduid.at</Value> 
 +                  </Tag> 
 +            </MetadataFilter> 
 +    </MetadataProvider> 
 +...  
 +</file> 
 + 
 +Im folgenden ein Beispiel, in dem Entities aus zwei fiktiven Föderationen aus den importierten eduGAIN-Metadaten entfernt werden: 
 + 
 +<file xml ./conf/metadata-providers.xml> 
 +... 
 +    <MetadataProvider id="DFN_AAI_eduGAIN" 
 +                  xsi:type="FileBackedHTTPMetadataProvider" 
 +                  backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" 
 +                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" 
 +                  maxRefreshDelay="PT2H"> 
 +            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
 +                  certificateFile="/etc/ssl/aai/dfn-aai.pem"/> 
 +            <MetadataFilter xsi:type="Predicate" direction="exclude" removeEmptyEntitiesDescriptors="true" trim="true"> 
 +                  <Tag name="http://aai.dfn.de/edugain/registrationAuthority" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> 
 +                       <Value>http://xyz.qq</Value> 
 +                       <Value>http://zyx.ww</Value> 
 +                  </Tag> 
 +            </MetadataFilter> 
 +    </MetadataProvider> 
 +...  
 +</file> 
 +==== Beispiel SP ==== 
 + 
 +<callout type="danger" title="Hinweis zur Konfiguration: Im Sessions-Element unbedingt redirectLimit auf 'host' oder 'exact' setzen!"> 
 +Achten Sie bitte unbedingt darauf, dass in **''shibboleth2.xml''** in allen **''<Sessions>''**-Elementen das XML-Attribut **''redirectLimit''**  
 +  - gesetzt wird und 
 +  - den Wert **''host''** oder **''exact''** erhält! (ggf. in Kombination mit ''allow''
 +Auf diese Weise wird ein Problem mit offenen Weiterleitungen ("Open Redirect") verhindert, das bspw. Phishing-Angriffe wirkungsvoller machen kann, vgl. https://shibboleth.atlassian.net/browse/SSPCPP-714.  
 +Weitere Informationen zu Konfigurationsmöglichkeiten für das ''<Sessions>''-Element sind im [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334342/Sessions|Shibboleth-Wiki dokumentiert]]. 
 +</callout> 
 + 
 +<callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> 
 + 
 +Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können: 
 + 
 +<file xml /etc/shibboleth/shibboleth2.xml> 
 +<MetadataProvider type="XML" validate="true" 
 +      url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" 
 +      backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> 
 +   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> 
 +</MetadataProvider> 
 + 
 +<MetadataProvider type="XML" validate="true" 
 +      url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml" 
 +      backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> 
 +   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> 
 +   <MetadataFilter type="Exclude" matcher="EntityAttributes"> 
 +       <saml:Attribute Name="http://macedir.org/entity-category" 
 +             NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> 
 +           <saml:AttributeValue>http://aai.dfn.de/category/public-idp</saml:AttributeValue> 
 +       </saml:Attribute> 
 +   </MetadataFilter> 
 +</MetadataProvider> 
 + 
 +</file> 
 + 
 + 
 +Für weitere Metadata Filter z.B. anhand der jeweiligen Föderation aus eduGAIN (Registration Authority) siehe unter [[de:shibsp#filtermechanismen|Shibboleth SP - Filtermechanismen]]. 
 + 
 +=== Discovery Service === 
 + 
 +Bei einem **Shibboleth SP** kann der zentrale Discovery Service (WAYF) genutzt werden, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]). 
 + 
 +**Lokaler SP** 
 + 
 +<file xml /etc/shibboleth/shibboleth2.xml> 
 +<SSO entityID="https://idp.beispiel-uni.de/idp/shibboleth"> 
 +   SAML2 
 +</SSO> 
 + 
 +</file> 
 + 
 +**Alle produktiven IdPs der DFN-AAI** 
 + 
 +<file xml /etc/shibboleth/shibboleth2.xml> 
 +<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI/wayf"> 
 +    SAML2 
 +</SSO> 
 + 
 +</file>
  
-==== 2.1 MetadataProvider ====+**Alle produktiven IdPs aus der DFN-AAI und aus eduGAIN**
  
-**NB:** Im folgenden beziehen sich alle Dateinamen auf die Zertifikathierarchie der Generation 2 der DFN-PKI, siehe unter [[de:metadata|Metadaten]].+<file xml /etc/shibboleth/shibboleth2.xml> 
 +<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-eduGAIN/wayf"> 
 +    SAML2 
 +</SSO> 
 +</file>
  
-**SP-Betreiber** legen fest, welcher [[https://www.aai.dfn.de/der-dienst/verlaesslichkeitsklassen/|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert).+**Für den Fall, dass zwischenzeitig die //Testföderation// genutzt werden soll:** 
 +<file xml /etc/shibboleth/shibboleth2.xml> 
 +<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Test/wayf"> 
 +    SAML2 
 +</SSO> 
 +</file>
  
-**IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält.+{{tag>idp4 tutorial discovery produktivbetrieb metadata wayf}}
  
-Einen Überblick über die verfügbaren Metadatensätze bietet die Seite [[de:metadata|Metadaten]]. 
  
-|                   ^ IdP / AA                            ^ SP                                   ^ 
-^ Advanced          | ''dfn-aai-sp-metadata.xml''         | ''dfn-aai-metadata.xml''             | 
-^ Basic             | ''dfn-aai-sp-metadata.xml''         | --                                   | 
-^ Advanced + Basic  | --                                  | ''dfn-aai-basic-metadata.xml''       | 
-^ eduGAIN           | ''dfn-aai-edugain+sp-metadata.xml'' | ''dfn-aai-edugain+idp-metadata.xml'' | 
-^ Lokale Metadaten* | ''dfn-aai-local-999-metadata.xml''  | ''dfn-aai-local-999-metadata.xml''   | 
-(* Siehe hierzu die Anmerkungen und **Beispiele** unter [[de:metadata_local|Lokale Metadaten]]) 
  • Zuletzt geändert: vor 7 Jahren