Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:production [2019/05/16 13:00]
Wolfgang Pempe
de:production [2020/04/23 10:41] (aktuell)
193.175.73.216 ↷ Links angepasst weil Seiten im Wiki verschoben wurden
Zeile 1: Zeile 1:
 ======= Produktivbetrieb ======= ======= Produktivbetrieb =======
  
-Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich ​gewesen, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. +Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich,​ können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. ​(Die Pfadangaben in den Beispielen ​beziehen sich auf eine Shibboleth-Installation unter Debian-GNU/​Linux. Passen Sie die bitte an Ihre lokalen Gegebenheiten an.)
- +
-**NB:** Beachten Sie bitte, dass sich die Pfadangaben ​wie in den meisten ​Beispielen auf eine Shibboleth-Installation unter Debian-GNU/​Linux ​beziehen. Passen Sie daher bitte ggf. die Pfade den jeweiligen ​lokalen Gegebenheiten an!+
  
 ===== 1. Metadatenverwaltung ===== ===== 1. Metadatenverwaltung =====
 +Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://​www.aai.dfn.de/​verwaltung/​metadaten/​| Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann.
  
-Mit Hilfe des Webfrontends ​wählen Sie in der Metadatenverwaltung die für Ihr System ​passende Föderation aus (Abschnitt "​Föderationen"​). Es wird geprüftob die für die Teilnahme in der DFN-AAI registrierten Metadaten den Anforderungen der gewählten ​Föderation ​genügen, insbesondere ob die verwendeten Zertifikate den Policies der DFN-AAI entsprechen. Weiterhin wird geprüft, ob bereits entsprechende Vertragsdaten hinterlegt sind. Bei positivem Befund wird die betreffende Instanz freigeschaltet.+In der Übersicht all Ihrer IdPs/​SPs ​wählen Sie das betreffende ​System ​und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "​Föderationen", ​wählen Sie jetzt die passende ​Föderation ​aus (siehe [[de:​degrees_of_reliance|Verlässlichkeitsklassen]]).
  
-===== 2Anpassung der Konfiguration =====+{{:​de:​aai:​mdv-produktiv.png?600}}
  
-Um in der Produktivumgebung mit anderen Entities kommunizieren zu könnenmuss die Konfiguration des/der betreffenden IdPSP oder Attribute Authority (AA) angepasst werden.+Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt: 
 + 
 +{{:​de:​aai:​mdv-produktiv-pending.png?​600}} 
 + 
 +Wir prüfen vor der Produktivschaltungob die Metadateninsbesondere die Zertifikate,​ gemäß unseren Policies eingetragen wurdenZur Unterstützung beim Ausfüllen haben wir übrigens eine [[de:​checklist|Checkliste]]. 
 + 
 +===== 2. Anpassung der Konfiguration =====
  
-===== MetadataProvider =====+Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des IdP, SP oder der Attribute Authority (AA) angepasst werden.
  
-**NB:** Im folgenden beziehen sich alle Dateinamen auf die Zertifikathierarchie der Generation 2 der DFN-PKI, siehe unter [[de:​metadata|Metadaten]].+==== MetadataProvider auswählen ====
  
 **SP-Betreiber** legen fest, welcher [[de:​degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''​dfn-aai-metadata.xml''​ oder ''​dfn-aai-basic-metadata.xml''​ einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "​Advanced"​ erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "​Basic"​ erfüllen. (IdPs der Verlässlichkeitsklasse "​Advanced"​ werden darum sowohl in den "​Advanced"​-Metadaten als auch in den "​Basic"​-Metadaten registriert). **SP-Betreiber** legen fest, welcher [[de:​degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''​dfn-aai-metadata.xml''​ oder ''​dfn-aai-basic-metadata.xml''​ einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "​Advanced"​ erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "​Basic"​ erfüllen. (IdPs der Verlässlichkeitsklasse "​Advanced"​ werden darum sowohl in den "​Advanced"​-Metadaten als auch in den "​Basic"​-Metadaten registriert).
Zeile 29: Zeile 34:
 ^ eduGAIN ​          | ''​dfn-aai-edugain+sp-metadata.xml''​ | ''​dfn-aai-edugain+idp-metadata.xml''​ | ^ eduGAIN ​          | ''​dfn-aai-edugain+sp-metadata.xml''​ | ''​dfn-aai-edugain+idp-metadata.xml''​ |
 ^ Lokale Metadaten ​ | ''​dfn-aai-local-999-metadata.xml''​* | ''​dfn-aai-local-999-metadata.xml''​* ​ | ^ Lokale Metadaten ​ | ''​dfn-aai-local-999-metadata.xml''​* | ''​dfn-aai-local-999-metadata.xml''​* ​ |
-(* Siehe hierzu die Anmerkungen und **Beispiele** unter [[de:​metadata_local|Lokale Metadaten]])+(* Siehe hierzu die Anmerkungen und Beispiele unter [[de:​metadata_local|Lokale Metadaten]])
  
 ==== Beispiel IdP ==== ==== Beispiel IdP ====
-**Für die aktuell gültigen Metadaten URLs und das Zertifikate ​zur Signaturvalidierung ​siehe unter [[de:​metadata|Metadaten]].**+<callout color="#​ff9900"​ title="​Metadaten-URLs">​ 
 +Die aktuell gültigen Metadaten-URLs und das Zertifikat ​zur Signaturvalidierung ​finden Sie unter [[de:​metadata|Metadaten]]. ​Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /​etc/​ssl/​aai/​ abgelegt wurde. 
 +</​callout>​
  
 **DFN-AAI:​** Siehe unter [[de:​shibidp3config-metadata|Föderationsmetadaten]]. **DFN-AAI:​** Siehe unter [[de:​shibidp3config-metadata|Föderationsmetadaten]].
Zeile 58: Zeile 65:
                   maxRefreshDelay="​PT2H">​                   maxRefreshDelay="​PT2H">​
             <​MetadataFilter xsi:​type="​SignatureValidation"​ requireSignedRoot="​true"​             <​MetadataFilter xsi:​type="​SignatureValidation"​ requireSignedRoot="​true"​
-                  certificateFile="/​etc/​ssl/​aai/​dfn-aai.g2.pem"/>​+                  certificateFile="/​etc/​ssl/​aai/​dfn-aai.pem"/>​
     </​MetadataProvider>​     </​MetadataProvider>​
     ​     ​
Zeile 68: Zeile 75:
                   maxRefreshDelay="​PT2H">​                   maxRefreshDelay="​PT2H">​
             <​MetadataFilter xsi:​type="​SignatureValidation"​ requireSignedRoot="​true"​             <​MetadataFilter xsi:​type="​SignatureValidation"​ requireSignedRoot="​true"​
-                  certificateFile="/​etc/​ssl/​aai/​dfn-aai.g2.pem"/>​+                  certificateFile="/​etc/​ssl/​aai/​dfn-aai.pem"/>​
     </​MetadataProvider>​     </​MetadataProvider>​
  
Zeile 75: Zeile 82:
  
 ==== Beispiel SP ==== ==== Beispiel SP ====
-**Für die aktuell gültigen Metadaten URLs und das Zertifikate ​zur Signaturvalidierung ​siehe unter [[de:​metadata|Metadaten]].**+<callout color="#​ff9900"​ title="​Metadaten-URLs">​ 
 +Die aktuell gültigen Metadaten-URLs und das Zertifikat ​zur Signaturvalidierung ​finden Sie unter [[de:​metadata|Metadaten]]. ​Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /​etc/​ssl/​aai/​ abgelegt wurde. 
 +</​callout>​
  
-Kommunikation mit allen produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Adavanced und Basic) sowie allen IdPs aus eduGAIN ​- letztere unter Ausschluss der "​Self-Signup"​ IdPs (siehe auch unter [[de:​entity_attributes|Entity Attribute]]):+Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Adavanced und Basic) sowie alle IdPs aus eduGAIN ​mit Ihrem Service Provider kommunizieren können:
  
 <file xml /​etc/​shibboleth/​shibboleth2.xml>​ <file xml /​etc/​shibboleth/​shibboleth2.xml>​
  
-<​MetadataProvider type="​XML"​  +<​MetadataProvider type="​XML" validate="​true
-      ​uri="​http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-basic-metadata.xml"​+      ​url="​http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-basic-metadata.xml"​
       backingFilePath="​dfn-aai-basic-metadata.xml"​ reloadInterval="​3600">​       backingFilePath="​dfn-aai-basic-metadata.xml"​ reloadInterval="​3600">​
-   <​MetadataFilter type="​Signature"​ certificate="/​etc/​ssl/​aai/​dfn-aai.g2.pem" />+   <​MetadataFilter type="​Signature"​ certificate="/​etc/​ssl/​aai/​dfn-aai.pem"​ />
    <​MetadataFilter type="​EntityRoleWhiteList">​    <​MetadataFilter type="​EntityRoleWhiteList">​
        <​RetainedRole>​md:​IDPSSODescriptor</​RetainedRole>​        <​RetainedRole>​md:​IDPSSODescriptor</​RetainedRole>​
Zeile 90: Zeile 99:
 </​MetadataProvider>​ </​MetadataProvider>​
  
-<​MetadataProvider type="​XML"​  +<​MetadataProvider type="​XML" validate="​true
-      ​uri="​http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+idp-metadata.xml"​+      ​url="​http://​www.aai.dfn.de/​fileadmin/​metadata/​dfn-aai-edugain+idp-metadata.xml"​
       backingFilePath="​dfn-aai-edugain+idp-metadata.xml"​ reloadInterval="​3600">​       backingFilePath="​dfn-aai-edugain+idp-metadata.xml"​ reloadInterval="​3600">​
-   <​MetadataFilter type="​Signature"​ certificate="/​etc/​ssl/​aai/​dfn-aai.g2.pem" />+   <​MetadataFilter type="​Signature"​ certificate="/​etc/​ssl/​aai/​dfn-aai.pem"​ />
    <​MetadataFilter type="​Blacklist"​ matcher="​EntityAttributes">​    <​MetadataFilter type="​Blacklist"​ matcher="​EntityAttributes">​
        <​saml:​Attribute Name="​http://​macedir.org/​entity-category" ​        <​saml:​Attribute Name="​http://​macedir.org/​entity-category" ​
Zeile 100: Zeile 109:
        </​saml:​Attribute>​        </​saml:​Attribute>​
    </​MetadataFilter>​    </​MetadataFilter>​
-   <​MetadataFilter type="​EntityRoleWhiteList">​ 
-       <​RetainedRole>​md:​IDPSSODescriptor</​RetainedRole>​ 
-    </​MetadataFilter>​ 
 </​MetadataProvider>​ </​MetadataProvider>​
 </​file>​ </​file>​
  
-===== Discovery Service ​===== +=== Discovery Service === 
-Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibeds|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("​lokale SPs"), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:​metadata_local|Lokale Metadaten]]).+Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibsp#​shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("​lokale SPs"), sollte die EntityID ​des IdP der Einrichtung referenziert werden (siehe auch unter [[de:​metadata_local|Lokale Metadaten]]).
  
 **Lokaler SP** **Lokaler SP**
Zeile 136: Zeile 142:
 </​SSO>​ </​SSO>​
 </​file>​ </​file>​
 +
 +** Wenn Sie auf diese Seite sind, weil Sie der Schritt-für-Schritt-Anleitung für die IdP-Inbetriebnahme gefolgt sind, geht es jetzt weiter mit den [[de:​shibidp:​config-attributes|Attribut-Konfigurationen in der DFN-AAI]].**
 +
 +{{tag>​idp4 tutorial discovery}}
  • Zuletzt geändert: vor 15 Monaten