Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp:install [2022/12/13 09:45] – [Tomcat-Neustart und erster Test] 2. Tomcat-Logdatei mit aufgenommen Silke Meyer | de:shibidp:install [2023/11/29 17:03] – Thorsten Michels |
---|
<callout color="#ff9900" title="Einmalige Verwendung der idp-metadata.xml"> | <callout color="#ff9900" title="Einmalige Verwendung der idp-metadata.xml"> |
Die Datei ''./metadata/idp-metadata.xml'' wird in der DFN-AAI nicht verwendet. Sie wird später weder vom IdP aktualisiert, noch von anderen Teilnehmern benötigt. Sie wird hier **ausschließlich für das initiale Einlesen in die Metadatenverwaltung** editiert und verwendet! | Die Datei ''./metadata/idp-metadata.xml'' wird in der DFN-AAI nicht verwendet. Sie wird später weder vom IdP aktualisiert, noch von anderen Teilnehmern benötigt. Sie wird hier **ausschließlich für das initiale Einlesen in die Metadatenverwaltung** editiert und verwendet! |
| |
| Der Inhalt dieser Datei wird per default unter der URL ''https://idp.example.org/idp/shibboleth'' ausgeliefert. Manche Dienstbetreiber gehen fälschlicherweise davon aus, dass die Daten darin ständig aktuell sind (wie es beim Shibboleth-Service-Provider ist). Deshalb sollte man diese URL abstellen, indem man in ''idp.properties'' den zugehörigen Eintrag leert: |
| |
| <file properties ./conf/idp.properties> |
| #idp.entityID.metadataFile=%{idp.home}/metadata/idp-metadata.xml |
| idp.entityID.metadataFile= |
| </file> |
| Die Änderung wird nach dem nächsten Tomcat-Neustart wirksam. |
</callout> | </callout> |
| |
<!-- den fehlenden ECP-Endpoint hinzufügen --> | <!-- den fehlenden ECP-Endpoint hinzufügen --> |
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.hochschule-XY.de/idp/profile/SAML2/SOAP/ECP"/> | <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.hochschule-XY.de/idp/profile/SAML2/SOAP/ECP"/> |
| |
<!-- die fehlenden NameID-Formate hinzufügen --> | |
<NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat> | |
... | ... |
</IDPSSODescriptor> | </IDPSSODescriptor> |
| |
<!-- Protocol-Support für SAML2-Queries im Attribute Authority-Descriptor aktivieren --> | <!-- Protocol-Support für SAML2-Queries im Attribute Authority-Descriptor aktivieren --> |
<AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol"> | <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> |
| |
... | ... |
| |
<AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="..."/> | |
<!-- SAML2-Attribute-Service einkommentieren --> | <!-- SAML2-Attribute-Service einkommentieren --> |
<AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="..."/> | <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="..."/> |
| |
<!-- die fehlenden NameID-Formate hinzufügen --> | |
<NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> | |
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat> | |
| |
</AttributeAuthorityDescriptor> | </AttributeAuthorityDescriptor> |