Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:production [2020/04/14 11:10]
Silke Meyer
de:production [2021/04/09 16:00] (aktuell)
Wolfgang Pempe
Zeile 1: Zeile 1:
-======= Produktivbetrieb =======+<- de:shibidp:config-encryption|Konfiguration des Verschlüsselungsalgorithmus ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-attributes|Anpassung der Attribut-Konfiguration -> 
 +====== Produktivbetrieb ======
  
 Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. (Die Pfadangaben in den Beispielen beziehen sich auf eine Shibboleth-Installation unter Debian-GNU/Linux. Passen Sie die bitte an Ihre lokalen Gegebenheiten an.) Ist der Funktionstest eines IdP oder SP in der Testföderation erfolgreich, können die betreffenden Instanzen in zwei Schritten in den Produktivbetrieb überführt werden. (Die Pfadangaben in den Beispielen beziehen sich auf eine Shibboleth-Installation unter Debian-GNU/Linux. Passen Sie die bitte an Ihre lokalen Gegebenheiten an.)
  
 ===== 1. Metadatenverwaltung ===== ===== 1. Metadatenverwaltung =====
-Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/metadaten/| Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann. 
  
-In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das WerkzeugsymbolGanz unten, im Abschnitt "Föderationen"wählen Sie jetzt die passende Föderation aus.+Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] an. Wenn Sie keinen Zugang habenwenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann.
  
- +In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das WerkzeugsymbolGanz untenim Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus (siehe [[:de:degrees_of_reliance|Verlässlichkeitsklassen]]).
- Es wird geprüft, ob die für die Teilnahme in der DFN-AAI registrierten Metadaten den Anforderungen der gewählten Föderation genügen, insbesondere ob die verwendeten Zertifikate den Policies der DFN-AAI entsprechenWeiterhin wird geprüftob bereits entsprechende Vertragsdaten hinterlegt sind. Bei positivem Befund wird die betreffende Instanz freigeschaltet.+
  
 {{:de:aai:mdv-produktiv.png?600}} {{:de:aai:mdv-produktiv.png?600}}
  
-===== 2Anpassung der Konfiguration =====+Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnetSie sehen dann den Status wie folgt:
  
-Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des/der betreffenden IdP, SP oder Attribute Authority (AA) angepasst werden.+{{:de:aai:mdv-produktiv-pending.png?600}}
  
-===== MetadataProvider =====+Wir prüfen vor der Produktivschaltung, ob die Metadaten, insbesondere die Zertifikate, gemäß unseren Policies eingetragen wurden. Zur Unterstützung beim Ausfüllen haben wir übrigens eine [[:de:checklist|Checkliste]].
  
-**NB:** Im folgenden beziehen sich alle Dateinamen auf die Zertifikathierarchie der Generation 2 der DFN-PKI, siehe unter [[de:metadata|Metadaten]].+===== 2. Anpassung der Konfiguration =====
  
-**SP-Betreiber** legen fest, welcher [[de:degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert).+Um in der Produktivumgebung mit anderen Entities kommunizieren zu können, muss die Konfiguration des IdP, SP oder der Attribute Authority (AA) angepasst werden. 
 + 
 +==== MetadataProvider auswählen ==== 
 + 
 +**SP-Betreiber** legen fest, welcher [[:de:degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-basic-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert).
  
 **IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält. **IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält.
  
-Einen Überblick über die verfügbaren Metadatensätze bietet die Seite [[de:metadata|Metadaten]].+Einen Überblick über die verfügbaren Metadatensätze bietet die Seite [[:de:metadata|Metadaten]]. 
 + 
 +|   ^IdP / AA  ^SP  | 
 +^Advanced  |''dfn-aai-sp-metadata.xml''   |''dfn-aai-metadata.xml''   | 
 +^Basic  |''dfn-aai-sp-metadata.xml''   |– 
 +^Advanced + Basic  |–  |''dfn-aai-basic-metadata.xml''   | 
 +^eduGAIN  |''dfn-aai-edugain+sp-metadata.xml'' |''dfn-aai-edugain+idp-metadata.xml''
 +^Lokale Metadaten  |''dfn-aai-local-999-metadata.xml''*|''dfn-aai-local-999-metadata.xml'' |
  
-|                   ^ IdP / AA                            ^ SP                                   ^ +(* Siehe hierzu die Anmerkungen und Beispiele unter [[:de:metadata_local|Lokale Metadaten]])
-^ Advanced          | ''dfn-aai-sp-metadata.xml''         | ''dfn-aai-metadata.xml''             | +
-^ Basic             | ''dfn-aai-sp-metadata.xml''         | --                                   | +
-^ Advanced + Basic  | --                                  | ''dfn-aai-basic-metadata.xml''       | +
-^ eduGAIN           | ''dfn-aai-edugain+sp-metadata.xml'' | ''dfn-aai-edugain+idp-metadata.xml''+
-^ Lokale Metadaten  | ''dfn-aai-local-999-metadata.xml''* | ''dfn-aai-local-999-metadata.xml''+
-(* Siehe hierzu die Anmerkungen und **Beispiele** unter [[de:metadata_local|Lokale Metadaten]])+
  
 ==== Beispiel IdP ==== ==== Beispiel IdP ====
-**Für die aktuell gültigen Metadaten URLs und das Zertifikate zur Signaturvalidierung siehe unter [[de:metadata|Metadaten]].** 
  
-**DFN-AAI:** Siehe unter [[de:shibidp3config-metadata|Föderationsmetadaten]].+<callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> 
 + 
 +**DFN-AAI:** Siehe unter [[:de:shibidp3config-metadata|Föderationsmetadaten]].
  
 Für die Teilnahme in **eduGAIN** muss **zusätzlich zu den Föderationsmetadaten der DFN-AAI** ein weiterer Metadatensatz eingebunden werden: Für die Teilnahme in **eduGAIN** muss **zusätzlich zu den Föderationsmetadaten der DFN-AAI** ein weiterer Metadatensatz eingebunden werden:
Zeile 64: Zeile 69:
                   certificateFile="/etc/ssl/aai/dfn-aai.pem"/>                   certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
     </MetadataProvider>     </MetadataProvider>
-    +
     <!-- Metadaten aller SP aus eduGAIN-->     <!-- Metadaten aller SP aus eduGAIN-->
     <MetadataProvider id="DFN_AAI_eduGAIN"     <MetadataProvider id="DFN_AAI_eduGAIN"
Zeile 76: Zeile 81:
  
 </MetadataProvider> </MetadataProvider>
 +
 </file> </file>
  
 ==== Beispiel SP ==== ==== Beispiel SP ====
-**Für die aktuell gültigen Metadaten URLs und das Zertifikate zur Signaturvalidierung siehe unter [[de:metadata|Metadaten]].** 
  
-Kommunikation mit allen produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Adavanced und Basic) sowie allen IdPs aus eduGAIN - letztere unter Ausschluss der "Self-SignupIdPs (siehe auch unter [[de:entity_attributes|Entity Attribute]]):+<callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout>
  
-<file xml /etc/shibboleth/shibboleth2.xml>+Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced und Basic) sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können:
  
 +<file xml /etc/shibboleth/shibboleth2.xml>
 <MetadataProvider type="XML" validate="true" <MetadataProvider type="XML" validate="true"
       url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml"       url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml"
Zeile 99: Zeile 105:
    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />    <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
    <MetadataFilter type="Blacklist" matcher="EntityAttributes">    <MetadataFilter type="Blacklist" matcher="EntityAttributes">
-       <saml:Attribute Name="http://macedir.org/entity-category" +       <saml:Attribute Name="http://macedir.org/entity-category"
              NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">              NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
            <saml:AttributeValue>http://aai.dfn.de/category/public-idp</saml:AttributeValue>            <saml:AttributeValue>http://aai.dfn.de/category/public-idp</saml:AttributeValue>
Zeile 105: Zeile 111:
    </MetadataFilter>    </MetadataFilter>
 </MetadataProvider> </MetadataProvider>
 +
 </file> </file>
  
-===== Discovery Service ===== +=== Discovery Service === 
-Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die Entity ID des IdP der Einrichtung referenziert werden (siehe auch unter [[de:metadata_local|Lokale Metadaten]]).+ 
 +Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]).
  
 **Lokaler SP** **Lokaler SP**
 +
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
 <SSO entityID="https://idp.beispiel-uni.de/idp/shibboleth"> <SSO entityID="https://idp.beispiel-uni.de/idp/shibboleth">
-   SAML2 +   SAML2
 </SSO> </SSO>
 +
 </file> </file>
  
 **Alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic)** **Alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic)**
 +
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
 <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf"> <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf">
     SAML2     SAML2
 </SSO> </SSO>
 +
 </file> </file>
  
 **Alle IdPs der DFN-AAI aus der Verlässlichkeitsklassen Advanced** **Alle IdPs der DFN-AAI aus der Verlässlichkeitsklassen Advanced**
 +
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
 <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI/wayf"> <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI/wayf">
     SAML2     SAML2
 </SSO> </SSO>
 +
 </file> </file>
  
 **Alle produktiven IdPs aus der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und eduGAIN** **Alle produktiven IdPs aus der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und eduGAIN**
 +
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
 <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-eduGAIN/wayf"> <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-eduGAIN/wayf">
Zeile 137: Zeile 152:
 </SSO> </SSO>
 </file> </file>
 +
 +**Für den Fall, dass zwischenzeitig die //Testföderation// genutzt werden soll:**
 +<file xml /etc/shibboleth/shibboleth2.xml>
 +<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Test/wayf">
 +    SAML2
 +</SSO>
 +</file>
 +
 +{{tag>idp4 tutorial discovery produktivbetrieb metadata}}
 +
 +
  • Zuletzt geändert: vor 18 Monaten