Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp:config-metadata [2020/04/07 13:35] – angelegt Silke Meyerde:shibidp:config-metadata [2022/05/02 14:11] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 +<- de:shibidp:config|Start IdP-Konfiguration ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-log|Logging ->
 ====== Konfiguration der Föderationsmetadaten ====== ====== Konfiguration der Föderationsmetadaten ======
  
Zeile 5: Zeile 6:
 Das folgende Beispiel geht davon aus, dass das Zertifikat zur [[de:metadata|Validierung der Signatur der Metadaten]] unter ''/etc/ssl/aai/'' abgelegt wurde. Dieser Pfad muss ggf. entsprechend den lokalen Gegebenheiten angepasst werden. \\ Das folgende Beispiel geht davon aus, dass das Zertifikat zur [[de:metadata|Validierung der Signatur der Metadaten]] unter ''/etc/ssl/aai/'' abgelegt wurde. Dieser Pfad muss ggf. entsprechend den lokalen Gegebenheiten angepasst werden. \\
 (ein Klick auf den Dateinamen startet den Download) (ein Klick auf den Dateinamen startet den Download)
 +
 <file xml ./conf/metadata-providers.xml> <file xml ./conf/metadata-providers.xml>
 <?xml version="1.0" encoding="UTF-8"?> <?xml version="1.0" encoding="UTF-8"?>
 <MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" <MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider"
     xmlns="urn:mace:shibboleth:2.0:metadata"     xmlns="urn:mace:shibboleth:2.0:metadata"
-    xmlns:resource="urn:mace:shibboleth:2.0:resource" 
     xmlns:security="urn:mace:shibboleth:2.0:security"     xmlns:security="urn:mace:shibboleth:2.0:security"
 +    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
     xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"     xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
 +    xmlns:alg="urn:oasis:names:tc:SAML:metadata:algsupport"
 +    xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
 +    xmlns:ds11="http://www.w3.org/2009/xmldsig11#"
 +    xmlns:enc="http://www.w3.org/2001/04/xmlenc#"
 +    xmlns:enc11="http://www.w3.org/2009/xmlenc11#"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd     xsi:schemaLocation="urn:mace:shibboleth:2.0:metadata http://shibboleth.net/schema/idp/shibboleth-metadata.xsd
-        urn:mace:shibboleth:2.0:resource http://shibboleth.net/schema/idp/shibboleth-resource.xsd 
         urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd         urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd
-        urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd">+        urn:oasis:names:tc:SAML:2.0:assertion http://docs.oasis-open.org/security/saml/v2.0/saml-schema-assertion-2.0.xsd 
 +        urn:oasis:names:tc:SAML:2.0:metadata http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd 
 +        urn:oasis:names:tc:SAML:metadata:algsupport http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-metadata-algsupport-v1.0.xsd 
 +        http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd 
 +        http://www.w3.org/2009/xmldsig11# http://www.w3.org/TR/2013/REC-xmldsig-core1-20130411/xmldsig11-schema.xsd 
 +        http://www.w3.org/2001/04/xmlenc# http://www.w3.org/TR/xmlenc-core/xenc-schema.xsd 
 +        http://www.w3.org/2009/xmlenc11# http://www.w3.org/TR/2013/REC-xmlenc-core1-20130411/xenc-schema-11.xsd">
  
     <!-- Metadaten der Testföderation -->     <!-- Metadaten der Testföderation -->
     <MetadataProvider id="dfn_aai_test"     <MetadataProvider id="dfn_aai_test"
-                  xsi:type="FileBackedHTTPMetadataProvider" +            xsi:type="FileBackedHTTPMetadataProvider" 
-                  backingFile="%{idp.home}/metadata/dfn-aai-test-metadata.xml" +            backingFile="%{idp.home}/metadata/dfn-aai-test-metadata.xml" 
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" +            metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-test-metadata.xml" 
-                  maxRefreshDelay="PT2H"> +            maxRefreshDelay="PT2H"> 
-            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" +        <MetadataFilter xsi:type="SignatureValidation" 
-                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/> +            requireSignedRoot="true" 
-            <MetadataFilter xsi:type="EntityRoleWhiteList"> +            certificateFile="/etc/ssl/aai/dfn-aai.pem"/> 
-                  <RetainedRole>md:SPSSODescriptor</RetainedRole> +        <MetadataFilter xsi:type="EntityRole"> 
-            </MetadataFilter>+            <RetainedRole>md:SPSSODescriptor</RetainedRole> 
 +        </MetadataFilter>
     </MetadataProvider>     </MetadataProvider>
 + 
     <!-- Metadaten aller SPs der DFN-AAI Produktivföderation -->     <!-- Metadaten aller SPs der DFN-AAI Produktivföderation -->
     <MetadataProvider id="dfn_aai"     <MetadataProvider id="dfn_aai"
-                  xsi:type="FileBackedHTTPMetadataProvider" +            xsi:type="FileBackedHTTPMetadataProvider" 
-                  backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" +            backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml" 
-                  metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml" +            metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml" 
-                  maxRefreshDelay="PT2H"> +            maxRefreshDelay="PT2H"> 
-            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" +        <MetadataFilter xsi:type="SignatureValidation" 
-                  certificateFile="/etc/ssl/aai/dfn-aai.g2.pem"/>+            requireSignedRoot="true" 
 +            certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
     </MetadataProvider>     </MetadataProvider>
  
Zeile 44: Zeile 58:
 </file> </file>
  
-Starten Sie Tomcat neu, um die neuen Einstellungen zu aktivieren (Logdateien mitverfolgen!):+Laden Sie das Servlet neu, um die neuen Einstellungen zu aktivieren (Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp:~# systemctl restart tomcat9+root@idp:~# touch /opt/shibboleth-idp/war/idp.war
 </code> </code>
  
-Weiter geht es mit dem [[de:shibidp:config-log|Logging]].+===== Metadatenabruf hinter Proxy =====
  
 +So konfigurieren Sie einen Metadata-Provider, wenn Ihr IdP durch einen [[https://wiki.shibboleth.net/confluence/display/IDP4/FileBackedHTTPMetadataProvider#FileBackedHTTPMetadataProvider-HTTPProxyAttributesHTTPProxyAttributes|Proxy]] geleitet wird:
 +
 +<file xml ./conf/metadata-providers.xml>
 +    <MetadataProvider id="dfn_aai_test"
 +            xsi:type="FileBackedHTTPMetadataProvider"
 +            backingFile="%{idp.home}/metadata/dfn-aai-test-metadata.xml"
 +            metadataURL="http://www.aai.dfn.de/metadata/dfn-aai-test-metadata.xml"
 +            maxRefreshDelay="PT2H"
 +            proxyHost="myproxy.example.local"
 +            proxyPort="0815">
 +        <MetadataFilter xsi:type="SignatureValidation"
 +            requireSignedRoot="true"
 +            certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
 +        <MetadataFilter xsi:type="EntityRoleWhiteList">
 +            <RetainedRole>md:SPSSODescriptor</RetainedRole>
 +        </MetadataFilter>
 +    </MetadataProvider>
 +</file>
  
 +{{tag> idp4 tutorial metadaten metadata included-in-ansible}}
  • Zuletzt geändert: vor 4 Jahren