Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibsp [2021/02/09 17:21] – [Shibboleth EDS (Embedded Discovery Service)] Raoul Gunnar Borenius
+++ de:shibsp [2022/03/03 17:15] – [Shibboleth SP (3.x)] Wolfgang Pempe
@@ Zeile 54: / Zeile 54: @@
 </file>
-**Filtermechanismen**
+===Filtermechanismen===
-Wenn der vom SP geschützte Dienst nur von Angehörigen bestimmter Einrichtungen genutzt werden soll, können anhand bestimmter Kriterien sogenannte [[https://wiki.shibboleth.net/confluence/display/SP3/MetadataFilter|Metadata Filter]] im SP konfiguriert werden. Dies hat zwei Vorteile:
+Wenn der vom SP geschützte Dienst nur von Angehörigen bestimmter Einrichtungen genutzt werden soll, können anhand bestimmter Kriterien sogenannte [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2063696193/MetadataFilter|Metadata Filter]] im SP konfiguriert werden. Dies hat zwei Vorteile:
   - Der SP arbeitet intern nur mit dem gefilterten, in der Regel deutlich reduzierten Metadatensatz
   - der Embedded Discovery Service zeigt nur diejenigen IdPs bzw. Einrichtungen an, welche in diesen gefilterten Metadaten enthalten sind. In shibboleth2.xml muss ''<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>'' aktiv sein, bitte überprüfen sie das zur Sicherheit!).
@@ Zeile 69: / Zeile 69: @@
          validate="true" backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600">
       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
-      <MetadataFilter type="Whitelist">
+      <MetadataFilter type="Include">
          <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include>
          <Include>https://idp.uni-beispiel2.de/idp/shibboleth</Include>
@@ Zeile 79: / Zeile 79: @@
 </file>
-Für ein Beispiel eines Metadata Filters anhand einer [[de:entity_attributes#entity_categories|Entity Category]] siehe die Dokumentation des bwIDM-Projekts unter https://www.bwidm.de/teilnahme/dienstanbieter/ (Abschnitt 1.2 - Technische Voraussetzungen)
+Für ein Beispiel eines Metadata Filters anhand einer [[de:entity_attributes#entity_categories|Entity Category]] siehe die Dokumentation des bwIDM-Projekts unter https://www.bwidm.de/teilnahme/dienstanbieter/ (Abschnitt 1.2 - Technische Voraussetzungen).
+Weiter Beispiele für Include- und Exclude-Filter anhand von Entity Attributen siehe unter [[https://doku.tid.dfn.de/de:entity_attributes#beispiele_filter|Entity Attributes]].
+Im folgenden zwei Beispiele für Metadata Filter, die anhand der Registration Authority (also der jeweiligen Heimatföderation) auf die eduGAIN-Metadaten angewandt werden:
+Nur Identity Provider aus der SWITCHaai (CH) und ACOnet Identity Federation (AT) akzeptieren:
+<file xml /etc/shibboleth/shibboleth2.xml>
+...
+   <MetadataProvider type="XML"
+         url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml"
+         validate="true" backingFilePath="dfn-aai-basic-metadata.xml" reloadInterval="3600">
+      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
+      <MetadataFilter type="Include" matcher="RegistrationAuthority">
+         <registrationAuthority>http://rr.aai.switch.ch/</registrationAuthority>
+         <registrationAuthority>http://eduid.at</registrationAuthority>
+      </MetadataFilter>
+   </MetadataProvider>
+   ...
+</file>
 Nach allen Änderungen in ''shibboleth2.xml'' muss der shibd Service neu gestartet werden:
@@ Zeile 96: / Zeile 118: @@
 === Installation ===
-Siehe hierzu die betreffende [[https://wiki.shibboleth.net/confluence/display/EDS10/2.+Installation|Seite im Shibboleth Wiki]].
+(Im Folgenden eine Kurzanleitung zur Installation, eine ausführlichere finden Sie auf den [[https://wiki.shibboleth.net/confluence/display/EDS10/2.+Installation|Seiten im Shibboleth Wiki]].)
   * CentOS/RedHat/SuSE

sp