Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp:config-metadata [2020/04/07 14:17] Silke Meyerde:shibidp:config-metadata [2024/07/05 16:02] (aktuell) – [Metadatenabruf hinter Proxy] EntityRole statt EntityRoleWhitelist Doreen Liebenau
Zeile 1: Zeile 1:
 +<- de:shibidp:config|Start IdP-Konfiguration ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-log|Logging ->
 ====== Konfiguration der Föderationsmetadaten ====== ====== Konfiguration der Föderationsmetadaten ======
  
Zeile 20: Zeile 21:
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd     xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd
-                        urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd +        urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd 
-                        urn:oasis:names:tc:SAML:2.0:assertion http://docs.oasis-open.org/security/saml/v2.0/saml-schema-assertion-2.0.xsd +        urn:oasis:names:tc:SAML:2.0:assertion http://docs.oasis-open.org/security/saml/v2.0/saml-schema-assertion-2.0.xsd 
-                        urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd +        urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd 
-                        urn:oasis:names:tc:SAML:metadata:algsupport http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-metadata-algsupport-v1.0.xsd +        urn:oasis:names:tc:SAML:metadata:algsupport http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-metadata-algsupport-v1.0.xsd 
-                        http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd +        http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd 
-                        http://www.w3.org/2009/xmldsig11# http://www.w3.org/TR/2013/REC-xmldsig-core1-20130411/xmldsig11-schema.xsd +        http://www.w3.org/2009/xmldsig11# http://www.w3.org/TR/2013/REC-xmldsig-core1-20130411/xmldsig11-schema.xsd 
-                        http://www.w3.org/2001/04/xmlenc# http://www.w3.org/TR/xmlenc-core/xenc-schema.xsd +        http://www.w3.org/2001/04/xmlenc# http://www.w3.org/TR/xmlenc-core/xenc-schema.xsd 
-                        http://www.w3.org/2009/xmlenc11# http://www.w3.org/TR/2013/REC-xmlenc-core1-20130411/xenc-schema-11.xsd">+        http://www.w3.org/2009/xmlenc11# http://www.w3.org/TR/2013/REC-xmlenc-core1-20130411/xenc-schema-11.xsd">
  
     <!-- Metadaten der Testföderation -->     <!-- Metadaten der Testföderation -->
     <MetadataProvider id="dfn_aai_test"     <MetadataProvider id="dfn_aai_test"
-                  xsi:type="FileBackedHTTPMetadataProvider" +            xsi:type="FileBackedHTTPMetadataProvider" 
-                  backingFile="%{idp.home}/metadata/dfn-aai-test-metadata.xml" +            backingFile="%{idp.home}/metadata/dfn-aai-test-metadata.xml" 
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" +            metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-test-metadata.xml" 
-                  maxRefreshDelay="PT2H"> +            maxRefreshDelay="PT2H"> 
-            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" +        <MetadataFilter xsi:type="SignatureValidation" 
-                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> +            requireSignedRoot="true" 
-            <MetadataFilter xsi:type="EntityRoleWhiteList"> +            certificateFile="/etc/ssl/aai/dfn-aai.pem"/> 
-                  <RetainedRole>md:SPSSODescriptor</RetainedRole> +        <MetadataFilter xsi:type="EntityRole"> 
-            </MetadataFilter>+            <RetainedRole>md:SPSSODescriptor</RetainedRole> 
 +        </MetadataFilter>
     </MetadataProvider>     </MetadataProvider>
    
     <!-- Metadaten aller SPs der DFN-AAI Produktivföderation -->     <!-- Metadaten aller SPs der DFN-AAI Produktivföderation -->
     <MetadataProvider id="dfn_aai"     <MetadataProvider id="dfn_aai"
-                  xsi:type="FileBackedHTTPMetadataProvider" +            xsi:type="FileBackedHTTPMetadataProvider" 
-                  backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" +            backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" 
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml" +            metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml" 
-                  maxRefreshDelay="PT2H"> +            maxRefreshDelay="PT2H"> 
-            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" +        <MetadataFilter xsi:type="SignatureValidation" 
-                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/>+            requireSignedRoot="true" 
 +            certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
     </MetadataProvider>     </MetadataProvider>
  
Zeile 55: Zeile 58:
 </file> </file>
  
-Starten Sie Tomcat neu, um die neuen Einstellungen zu aktivieren (Logdateien mitverfolgen!):+Laden Sie das Servlet neu, um die neuen Einstellungen zu aktivieren (Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp:~# systemctl restart tomcat9+root@idp:~# touch /opt/shibboleth-idp/war/idp.war
 </code> </code>
  
-Weiter geht es mit der [[de:shibidp:config-log|Logging]]-Konfiguration.+===== Metadatenabruf hinter Proxy =====
  
 +So konfigurieren Sie einen Metadata-Provider, wenn Ihr IdP durch einen [[https://wiki.shibboleth.net/confluence/display/IDP4/FileBackedHTTPMetadataProvider#FileBackedHTTPMetadataProvider-HTTPProxyAttributesHTTPProxyAttributes|Proxy]] geleitet wird:
  
 +<file xml ./conf/metadata-providers.xml>
 +    <MetadataProvider id="dfn_aai_test"
 +            xsi:type="FileBackedHTTPMetadataProvider"
 +            backingFile="%{idp.home}/metadata/dfn-aai-test-metadata.xml"
 +            metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-test-metadata.xml"
 +            maxRefreshDelay="PT2H"
 +            proxyHost="myproxy.example.local"
 +            proxyPort="0815">
 +        <MetadataFilter xsi:type="SignatureValidation"
 +            requireSignedRoot="true"
 +            certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
 +        <MetadataFilter xsi:type="EntityRole">
 +            <RetainedRole>md:SPSSODescriptor</RetainedRole>
 +        </MetadataFilter>
 +    </MetadataProvider>
 +</file>
 +
 +{{tag> idp4 tutorial metadaten metadata included-in-ansible}}
  • Zuletzt geändert: vor 5 Jahren