Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp:install [2021/10/06 10:25] – [IdP Status URL freigeben] StatusAccessByIPAddress in admin.properties Silke Meyer | de:shibidp:install [2023/11/29 17:03] – Thorsten Michels |
---|
<entry key="StatusAccessByIPAddress"> | <entry key="StatusAccessByIPAddress"> |
<bean parent="shibboleth.IPRangeAccessControl" | <bean parent="shibboleth.IPRangeAccessControl" |
p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NETZMASKE', '193.174.247.0/24', '2001:638:206:1::/64'} }" /> | p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NETZMASKE', '193.174.247.0/24', '194.95.243.0/24', '194.95.244.0/24', '194.95.242.0/24', '2001:638:206:1::/64'} }" /> |
</entry> | </entry> |
</util:map> | </util:map> |
| |
<code bash> | <code bash> |
root@idp:# tail -f /var/log/tomcat9/catalina.DATUM.log | root@idp:# tail -f /var/log/tomcat9/catalina.DATUM.log /var/log/tomcat9/localhost.DATUM.log |
</code> | </code> |
| |
<callout color="#ff9900" title="Einmalige Verwendung der idp-metadata.xml"> | <callout color="#ff9900" title="Einmalige Verwendung der idp-metadata.xml"> |
Die Datei ''./metadata/idp-metadata.xml'' wird in der DFN-AAI nicht verwendet. Sie wird später weder vom IdP aktualisiert, noch von anderen Teilnehmern benötigt. Sie wird hier **ausschließlich für das initiale Einlesen in die Metadatenverwaltung** editiert und verwendet! | Die Datei ''./metadata/idp-metadata.xml'' wird in der DFN-AAI nicht verwendet. Sie wird später weder vom IdP aktualisiert, noch von anderen Teilnehmern benötigt. Sie wird hier **ausschließlich für das initiale Einlesen in die Metadatenverwaltung** editiert und verwendet! |
| |
| Der Inhalt dieser Datei wird per default unter der URL ''https://idp.example.org/idp/shibboleth'' ausgeliefert. Manche Dienstbetreiber gehen fälschlicherweise davon aus, dass die Daten darin ständig aktuell sind (wie es beim Shibboleth-Service-Provider ist). Deshalb sollte man diese URL abstellen, indem man in ''idp.properties'' den zugehörigen Eintrag leert: |
| |
| <file properties ./conf/idp.properties> |
| #idp.entityID.metadataFile=%{idp.home}/metadata/idp-metadata.xml |
| idp.entityID.metadataFile= |
| </file> |
| Die Änderung wird nach dem nächsten Tomcat-Neustart wirksam. |
</callout> | </callout> |
| |
<?xml version="1.0" encoding="UTF-8"?> | <?xml version="1.0" encoding="UTF-8"?> |
<!-- In der folgenden Zeile muss das Ablaufdatum dieses Metadatensatz entfernt werden, z.B. validUntil="2020-04-06T13:35:26.645Z". --> | <!-- In der folgenden Zeile muss das Ablaufdatum dieses Metadatensatz entfernt werden, z.B. validUntil="2020-04-06T13:35:26.645Z". --> |
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:xml="http://www.w3.org/XML/1998/namespace" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" xmlns:req-attr="urn:oasis:names:tc:SAML:protocol:ext:req-attr" entityID="https://web1.in.dfn.de/idp/shibboleth"> | <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:xml="http://www.w3.org/XML/1998/namespace" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" xmlns:req-attr="urn:oasis:names:tc:SAML:protocol:ext:req-attr" entityID="https://idp.hochschule-XY.de/idp/shibboleth"> |
| |
... | ... |
<!-- den fehlenden ECP-Endpoint hinzufügen --> | <!-- den fehlenden ECP-Endpoint hinzufügen --> |
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.hochschule-XY.de/idp/profile/SAML2/SOAP/ECP"/> | <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.hochschule-XY.de/idp/profile/SAML2/SOAP/ECP"/> |
| |
<!-- die fehlenden NameID-Formate hinzufügen --> | |
<NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat> | |
... | ... |
</IDPSSODescriptor> | </IDPSSODescriptor> |
| |
<!-- Protocol-Support für SAML2-Queries im Attribute Authority-Descriptor aktivieren --> | <!-- Protocol-Support für SAML2-Queries im Attribute Authority-Descriptor aktivieren --> |
<AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol"> | <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> |
| |
... | ... |
| |
<AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="..."/> | |
<!-- SAML2-Attribute-Service einkommentieren --> | <!-- SAML2-Attribute-Service einkommentieren --> |
<AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="..."/> | <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="..."/> |
| |
<!-- die fehlenden NameID-Formate hinzufügen --> | |
<NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat> | |
| |
</AttributeAuthorityDescriptor> | </AttributeAuthorityDescriptor> |