Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:install [2021/07/13 14:58] – Entity ID Silke Meyer
+++ de:shibidp:install [2023/12/05 10:11] (aktuell) – [Vorbereitung der IdP-Metadaten] Wolfgang Pempe
@@ Zeile 101: / Zeile 101: @@
         <entry key="StatusAccessByIPAddress">
             <bean parent="shibboleth.IPRangeAccessControl"
-                p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NETZMASKE', '193.174.247.0/24', '2001:638:206:1::/64'} }" />
+                p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NETZMASKE', '193.174.247.0/24', '194.95.243.0/24', '194.95.244.0/24', '194.95.242.0/24', '2001:638:206:1::/64'} }" />
         </entry>
     </util:map>
@@ Zeile 108: / Zeile 108: @@
 </file>
-Dieser Eintrag muss dann noch in ''idp.properties'' der Status-Seite zugewiesen werden:
+Dieser Eintrag muss dann noch in ''conf/admin/admin.properties'' der Status-Seite zugewiesen werden:
-<file properties ./conf/idp.properties>
+<file properties ./conf/admin/admin.properties>
 idp.status.accessPolicy=StatusAccessByIPAddress
 </file>
@@ Zeile 123: / Zeile 123: @@
 <code bash>
-root@idp:# tail -f /var/log/tomcat9/catalina.DATUM.log
+root@idp:# tail -f /var/log/tomcat9/catalina.DATUM.log /var/log/tomcat9/localhost.DATUM.log
 </code>
@@ Zeile 141: / Zeile 141: @@
 ====== Vorbereitung der IdP-Metadaten ======
-<callout color="#ff9900" title="Einmalige Verwendung der idp-metadata.xml">
-Die Datei ''./metadata/idp-metadata.xml'' wird in der DFN-AAI nicht verwendet. Sie wird später weder vom IdP aktualisiert, noch von anderen Teilnehmern benötigt. Sie wird hier **ausschließlich für das initiale Einlesen in die Metadatenverwaltung** editiert und verwendet!
-</callout>
 Die Metadatenverwaltung der DFN-AAI kann die Metadaten Ihres IdP einlesen. Das verringert den Aufwand beim Eintragen der IdP-Metadaten. Wir empfehlen, vor dem initialen Registrieren des IdPs in ''./metadata/idp-metadata.xml'' die fehlenden Einträge zu aktivieren, damit die Felder in der Metadatenverwaltung ausgefüllt werden können. Im Folgenden sind nur die relevanten Ausschnitte angegeben:
@@ Zeile 151: / Zeile 147: @@
 <?xml version="1.0" encoding="UTF-8"?>
 <!-- In der folgenden Zeile muss das Ablaufdatum dieses Metadatensatz entfernt werden, z.B. validUntil="2020-04-06T13:35:26.645Z". -->
-<EntityDescriptor  xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:xml="http://www.w3.org/XML/1998/namespace" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" xmlns:req-attr="urn:oasis:names:tc:SAML:protocol:ext:req-attr" entityID="https://web1.in.dfn.de/idp/shibboleth">
+<EntityDescriptor  xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:xml="http://www.w3.org/XML/1998/namespace" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" xmlns:req-attr="urn:oasis:names:tc:SAML:protocol:ext:req-attr" entityID="https://idp.hochschule-XY.de/idp/shibboleth">
 ...
@@ Zeile 185: / Zeile 181: @@
         <!-- den fehlenden ECP-Endpoint hinzufügen -->
         <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.hochschule-XY.de/idp/profile/SAML2/SOAP/ECP"/>
-        <!-- die fehlenden NameID-Formate hinzufügen -->
-        <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
-        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
-        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
 ...
     </IDPSSODescriptor>
     <!-- Protocol-Support für SAML2-Queries im Attribute Authority-Descriptor aktivieren -->
-    <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol">
+    <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
         ...
-        <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="..."/>
         <!-- SAML2-Attribute-Service einkommentieren -->
         <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="..."/>
-        <!-- die fehlenden NameID-Formate hinzufügen -->
-        <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
-        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
-        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
     </AttributeAuthorityDescriptor>
@@ Zeile 211: / Zeile 197: @@
 </EntityDescriptor>
 </code>
+<callout type="danger" title="Einmalige Verwendung der idp-metadata.xml">
+Die Datei ''./metadata/idp-metadata.xml'' wird in der DFN-AAI nicht verwendet. Sie wird später weder vom IdP aktualisiert, noch von anderen Teilnehmern benötigt. Sie wird hier **ausschließlich für das initiale Einlesen in die Metadatenverwaltung** editiert und verwendet!
+Der Inhalt dieser Datei wird per default unter der URL ''https://idp.example.org/idp/shibboleth'' ausgeliefert. Manche Dienstbetreiber gehen fälschlicherweise davon aus, dass die Daten darin ständig aktuell sind (wie es beim Shibboleth-Service-Provider ist). Deshalb sollte man diese URL abstellen, indem man in ''idp.properties'' den zugehörigen Eintrag leert:
+<file properties ./conf/idp.properties>
+#idp.entityID.metadataFile=%{idp.home}/metadata/idp-metadata.xml
+idp.entityID.metadataFile=
+</file>
+Die Änderung wird nach dem nächsten Tomcat-Neustart wirksam.
+</callout>
 {{tag>idp4 tutorial included-in-ansible}}

idp4 tutorial included-in-ansible