| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:production [2022/04/14 14:18] – Wolfgang Pempe | de:production [2024/02/15 10:06] (aktuell) – Wolfgang Pempe |
|---|
| Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann. | Wenn Sie selbst als Metadatenadmin* für Ihre Heimateinrichtung bzw. Firma benannt wurden und einen Zugang von uns erhalten haben, melden Sie sich mit Ihrer E-Mailadresse an der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] an. Wenn Sie keinen Zugang haben, wenden Sie sich bitte an die Person in Ihrem Hause, die den Eintrag für Sie erledigen kann. |
| |
| In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus (siehe [[:de:degrees_of_reliance|Verlässlichkeitsklassen]]). | In der Übersicht all Ihrer IdPs/SPs wählen Sie das betreffende System und öffnen Sie seine Metadaten über das Werkzeugsymbol. Ganz unten, im Abschnitt "Föderationen", wählen Sie jetzt die passende Föderation aus. |
| |
| {{:de:aai:mdv-produktiv.png?600}} | {{:de:metadata_admin_tool:mdv-produktiv-neuemdv-de.png?1400|}} |
| |
| Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt: | Wenn Sie die Änderung speichern, wird bei uns ein Ticket geöffnet. Sie sehen dann den Status wie folgt: |
| |
| {{:de:aai:mdv-produktiv-pending.png?600}} | {{:de:metadata_admin_tool:mdv-produktiv-pending-neuemdv-de.png?1400|}} |
| |
| Wir prüfen vor der Produktivschaltung, ob die Metadaten, insbesondere die Zertifikate, gemäß unseren Policies eingetragen wurden. Zur Unterstützung beim Ausfüllen haben wir übrigens eine [[:de:checklist|Checkliste]]. | Wir prüfen vor der Produktivschaltung, ob die Metadaten, insbesondere die Zertifikate, gemäß unseren Policies eingetragen wurden. Zur Unterstützung beim Ausfüllen haben wir übrigens eine [[:de:checklist|Checkliste]]. |
| xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
| backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" |
| metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml" |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
| backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" |
| metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
| backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" |
| metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" |
| backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" | backingFile="%{idp.home}/metadata/dfn-aai-edugain+sp-metadata.xml" |
| metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+sp-metadata.xml" | metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-edugain+sp-metadata.xml" |
| maxRefreshDelay="PT2H"> | maxRefreshDelay="PT2H"> |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" |
| </file> | </file> |
| ==== Beispiel SP ==== | ==== Beispiel SP ==== |
| | |
| | <callout type="danger" title="Hinweis zur Konfiguration: Im Sessions-Element unbedingt redirectLimit auf 'host' oder 'exact' setzen!"> |
| | Achten Sie bitte unbedingt darauf, dass in **''shibboleth2.xml''** in allen **''<Sessions>''**-Elementen das XML-Attribut **''redirectLimit''** |
| | - gesetzt wird und |
| | - den Wert **''host''** oder **''exact''** erhält! (ggf. in Kombination mit ''allow'') |
| | Auf diese Weise wird ein Problem mit offenen Weiterleitungen ("Open Redirect") verhindert, das bspw. Phishing-Angriffe wirkungsvoller machen kann, vgl. https://shibboleth.atlassian.net/browse/SSPCPP-714. |
| | Weitere Informationen zu Konfigurationsmöglichkeiten für das ''<Sessions>''-Element sind im [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334342/Sessions|Shibboleth-Wiki dokumentiert]]. |
| | </callout> |
| |
| <callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> | <callout color="#ff9900" title="Metadaten-URLs"> Die aktuell gültigen Metadaten-URLs und das Zertifikat zur Signaturvalidierung finden Sie unter [[:de:metadata|Metadaten]]. Das folgende Beispiel geht davon aus, dass das Zertifikat zur Validierung der Signatur der Metadaten unter /etc/ssl/aai/ abgelegt wurde. </callout> |
| |
| Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced und Basic) sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können: | Dieses Beispiel zeigt, wie Sie erlauben, dass alle produktiven IdPs der DFN-AAI sowie alle IdPs aus eduGAIN mit Ihrem Service Provider kommunizieren können: |
| |
| <file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
| <MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
| url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml" |
| backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> |
| </MetadataProvider> | </MetadataProvider> |
| |
| <MetadataProvider type="XML" validate="true" | <MetadataProvider type="XML" validate="true" |
| url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-edugain+idp-metadata.xml" | url="http://www.aai.dfn.de/metadata/dfn-aai-edugain+idp-metadata.xml" |
| backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-edugain+idp-metadata.xml" reloadInterval="3600"> |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false" /> |
| <MetadataFilter type="Exclude" matcher="EntityAttributes"> | <MetadataFilter type="Exclude" matcher="EntityAttributes"> |
| <saml:Attribute Name="http://macedir.org/entity-category" | <saml:Attribute Name="http://macedir.org/entity-category" |
| </file> | </file> |
| |
| Das folgende Beispiel zeigt, wie ausschließlich die produktiven IdPs der DFN-AAI eingebunden werden, die die Anforderungen der Verlässlichkeitsklassen Advanced erfüllen: | |
| |
| <file xml /etc/shibboleth/shibboleth2.xml> | |
| <MetadataProvider type="XML" validate="true" | |
| url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml" | |
| backingFilePath="dfn-aai-idp-metadata.xml" reloadInterval="3600"> | |
| <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" /> | |
| <MetadataFilter type="Include" matcher="EntityAttributes"> | |
| <saml:Attribute Name="http://aai.dfn.de/loa/degree-of-reliance" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> | |
| <saml:AttributeValue>advanced</saml:AttributeValue> | |
| </saml:Attribute> | |
| </MetadataFilter> | |
| </MetadataProvider> | |
| |
| </file> | |
| |
| Für weitere Metadata Filter z.B. anhand der jeweiligen Föderation aus eduGAIN (Registration Authority) siehe unter [[de:shibsp#filtermechanismen|Shibboleth SP - Filtermechanismen]]. | Für weitere Metadata Filter z.B. anhand der jeweiligen Föderation aus eduGAIN (Registration Authority) siehe unter [[de:shibsp#filtermechanismen|Shibboleth SP - Filtermechanismen]]. |
| === Discovery Service === | === Discovery Service === |
| |
| Bei einem **Shibboleth SP** wählt man entsprechend der benötigten Verlässlichkeitsklasse den URL zum DS-Server, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]). | Bei einem **Shibboleth SP** kann der zentrale Discovery Service (WAYF) genutzt werden, sofern kein lokaler bzw. [[:de:shibsp#shibboleth_eds_embedded_discovery_service|Embedded Discovery Service]] verwendet wird. Bei SPs, die nur innerhalb der Einrichtung betrieben werden ("lokale SPs"), sollte die EntityID des IdP der Einrichtung referenziert werden (siehe auch unter [[:de:metadata_local|Lokale Metadaten]]). |
| |
| **Lokaler SP** | **Lokaler SP** |
| </file> | </file> |
| |
| **Alle produktiven IdPs der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic)** | **Alle produktiven IdPs der DFN-AAI** |
| | |
| <file xml /etc/shibboleth/shibboleth2.xml> | |
| <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf"> | |
| SAML2 | |
| </SSO> | |
| | |
| </file> | |
| | |
| **Alle IdPs der DFN-AAI aus der Verlässlichkeitsklassen Advanced** | |
| |
| <file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
| </file> | </file> |
| |
| **Alle produktiven IdPs aus der DFN-AAI (Verlässlichkeitsklassen Advanced + Basic) und eduGAIN** | **Alle produktiven IdPs aus der DFN-AAI und aus eduGAIN** |
| |
| <file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
| </file> | </file> |
| |
| {{tag>idp4 tutorial discovery produktivbetrieb metadata mdvdoku}} | {{tag>idp4 tutorial discovery produktivbetrieb metadata wayf}} |
| |
| |