Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:production [2022/04/04 16:28] – Tag: Überarbeitung MDV-Doku Silke Meyer
+++ de:production [2024/02/15 10:06] (aktuell) – Wolfgang Pempe
@@ Zeile 8: / Zeile 8: @@
 Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann.
-In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus (siehe [[:de:degrees_of_reliance|Verlässlichkeitsklassen]]).
+In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus.
-{{:de:aai:mdv-produktiv.png?600}}
+{{:de:metadata_admin_tool:mdv-produktiv-neuemdv-de.png?1400|}}
 Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt:
-{{:de:aai:mdv-produktiv-pending.png?600}}
+{{:de:metadata_admin_tool:mdv-produktiv-pending-neuemdv-de.png?1400|}}
 Wir prüfen vor der Produktivschaltung, ob die Metadaten, insbesondere die Zertifikate, gemäß unseren Policies eingetragen wurden. Zur Unterstützung beim Ausfüllen haben wir übrigens eine [[:de:checklist|Checkliste]].
@@ Zeile 24: / Zeile 24: @@
 ==== MetadataProvider auswählen ====
-**SP-Betreiber** legen fest, welcher [[:de:degrees_of_reliance|Verlässlichkeitsklasse]] ein IdP mindestens angehören muss, damit dessen User auf den SP zugreifen dürfen, indem Sie entweder ''dfn-aai-metadata.xml'' oder ''dfn-aai-idp-metadata.xml'' einbinden. Bei ersterem haben nur Nutzer von IdPs Zugriff auf den betreffenden Dienst, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzer von IdPs, die nur die Kriterien der Klasse "Basic" erfüllen. (IdPs der Verlässlichkeitsklasse "Advanced" werden darum sowohl in den "Advanced"-Metadaten als auch in den "Basic"-Metadaten registriert).
+**SP-Betreiber** binden mindestens den Metadatensatz ein, der alle produktiven IdP der DFN-AAI enthält.
-**IdP-Betreiber** binden den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält.
+**IdP-Betreiber** binden mindestens den Metadatensatz ein, der alle produktiven SP der DFN-AAI enthält.
 Einen Überblick über die verfügbaren Metadatensätze bietet die Seite [[:de:metadata|Metadaten]].
 |   ^IdP / AA  ^SP  |
-^Advanced  |''dfn-aai-sp-metadata.xml''   |''dfn-aai-metadata.xml''   |
+^DFN-AAI  |''dfn-aai-sp-metadata.xml''   |''dfn-aai-idp-metadata.xml''   |
-^Basic  |''dfn-aai-sp-metadata.xml''   |–  |
-^Advanced + Basic  |–  |''dfn-aai-idp-metadata.xml''   |
 ^eduGAIN  |''dfn-aai-edugain+sp-metadata.xml'' |''dfn-aai-edugain+idp-metadata.xml'' |
 ^Lokale Metadaten  |''dfn-aai-local-999-metadata.xml''*|''dfn-aai-local-999-metadata.xml''*  |
@@ Zeile 64: / Zeile 62: @@
                   xsi:type="FileBackedHTTPMetadataProvider"
                   backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml"
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml"
+                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml"
                   maxRefreshDelay="PT2H">
             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
@@ Zeile 74: / Zeile 72: @@
                   xsi:type="FileBackedHTTPMetadataProvider"
                   backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml"
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml"
+                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml"
                   maxRefreshDelay="PT2H">
             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
@@ Zeile 98: / Zeile 96: @@
                   xsi:type="FileBackedHTTPMetadataProvider"
                   backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml"
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml"
+                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml"
                   maxRefreshDelay="PT2H">
             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
@@ Zeile 119: / Zeile 117: @@
                   xsi:type="FileBackedHTTPMetadataProvider"
                   backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml"
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml"
+                  metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml"
                   maxRefreshDelay="PT2H">
             <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
@@ Zeile 133: / Zeile 131: @@
 </file>
 ==== Beispiel SP ====
+<callout type="danger" title="Hinweis zur Konfiguration: Im Sessions-Element unbedingt redirectLimit auf 'host' oder 'exact' setzen!">
+Achten Sie bitte unbedingt darauf, dass in **''shibboleth2.xml''** in allen **''<Sessions>''**-Elementen das XML-Attribut **''redirectLimit''**
+  - gesetzt wird und
+  - den Wert **''host''** oder **''exact''** erhält! (ggf. in Kombination mit ''allow'')
+Auf diese Weise wird ein Problem mit offenen Weiterleitungen ("Open Redirect") verhindert, das bspw. Phishing-Angriffe wirkungsvoller machen kann, vgl. https://shibboleth.atlassian.net/browse/SSPCPP-714.
+Weitere Informationen zu Konfigurationsmöglichkeiten für das ''<Sessions>''-Element sind im [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334342/Sessions|Shibboleth-Wiki dokumentiert]].
+</callout>
 <callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout>
-Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced und Basic) sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können:
+Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können:
 <file xml /etc/shibboleth/shibboleth2.xml>
 <MetadataProvider type="XML" validate="true"
-      url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml"
+      url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml"
       backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600">
-   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
+   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" />
-   <MetadataFilter type="EntityRole">
-       <RetainedRole>md:IDPSSODescriptor</RetainedRole>
-    </MetadataFilter>
 </MetadataProvider>
 <MetadataProvider type="XML" validate="true"
-      url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml"
+      url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml"
       backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600">
-   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
+   <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" />
    <MetadataFilter type="Exclude" matcher="EntityAttributes">
        <saml:Attribute Name="http://macedir.org/entity-category"
@@ Zeile 161: / Zeile 164: @@
 </file>
 Für weitere Metadata Filter z.B. anhand der jeweiligen Föderation aus eduGAIN (Registration Authority) siehe unter [[de:shibsp#filtermechanismen|Shibboleth SP - Filtermechanismen]].
@@ Zeile 166: / Zeile 170: @@
 === Discovery Service ===
-Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]).
+Bei einem **Shibboleth SP** kann der zentrale Discovery Service (WAYF) genutzt werden, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]).
 **Lokaler SP**
@@ Zeile 177: / Zeile 181: @@
 </file>
-**Alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic)**
+**Alle produktiven IdPs der DFN-AAI**
-<file xml /etc/shibboleth/shibboleth2.xml>
-<SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf">
-    SAML2
-</SSO>
-</file>
-**Alle IdPs der DFN-AAI aus der Verlässlichkeitsklassen Advanced**
 <file xml /etc/shibboleth/shibboleth2.xml>
@@ Zeile 195: / Zeile 190: @@
 </file>
-**Alle produktiven IdPs aus der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und eduGAIN**
+**Alle produktiven IdPs aus der DFN-AAI und aus eduGAIN**
 <file xml /etc/shibboleth/shibboleth2.xml>
@@ Zeile 210: / Zeile 205: @@
 </file>
-{{tag>idp4 tutorial discovery produktivbetrieb metadata mdvdoku}}
+{{tag>idp4 tutorial discovery produktivbetrieb metadata wayf}}

idp4 tutorial discovery produktivbetrieb metadata wayf