Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis Shibboleth Embedded Discovery Service (EDS) Beispiel-Filter: explizite Angabe der gewünschten IdPs Beispiel: Positiv-Auswahl anhand einer **Entity Category** Dies ist eine alte Version des Dokuments! Shibboleth Embedded Discovery Service (EDS) Sofern Ihr SP seinen Service nur gewissen Einrichtungen zur Verfügung stellt, empfehlen wir einen sogenannten Metadata-Filter im SP zu konfigurieren welcher dafür sorgt dass der EDS dem User nicht mehr einfach alle IdPs in der Föderation zur Auswahl stellt sondern nur diejenigen von denen die Nutzung des Dienstes möglich ist. Beispiel-Filter: explizite Angabe der gewünschten IdPs /etc/shibboleth/shibboleth2.xml ... <MetadataProvider type="Chaining"> <MetadataProvider type="XML" uri="https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Basic-metadata.xml" backingFilePath="DFN-AAI-Basic-metadata.xml" minRefreshDelay="240" reloadInterval="300"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> <MetadataFilter type="Whitelist"> <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include> <Include>https://idp.uni-beispiel2.de/idp/shibboleth</Include> <Include>https://idp.uni-beispiel3.de/idp/shibboleth</Include> </MetadataFilter> </MetadataProvider> ... </MetadataProvider> Beispiel: Positiv-Auswahl anhand einer **Entity Category** siehe Online-Dokumentation des bwIDM-Projekts unter https://www.bwidm.de/teilnahme/dienstanbieter/ (Abschnitt 1.2 - Technische Voraussetzungen) Beim EDS handelt es sich um einen Satz von Java Scripts, der sich in beliebige HTML-Seiten einbetten lässt und der mit dem vom Shibboleth SP ab Version 2.4 generierten Discovery Feed arbeitet (/Shibboleth.sso/DiscoFeed). Hierbei handelt es sich um (IdP-)Daten im JSON-Format, die aus den über ein oder mehrere MetadataProvider-Elemente verfügbaren Metadaten generiert werden - nach Anwendung etwaiger MetadataFilter, z.B. einer Whitelist von Entity IDs zugriffsberechtigter IdPs oder einer EntityCategory. Auf diese Weise lässt sich mit geringem Aufwand eine Einrichtungsauswahl realisieren, die ausschließlich IdPs von Einrichtungen enthält, deren NutzerInnen Zugriff auf den vom SP geschützten Dienst erhalten sollen. Die offizielle Dokumentation zum EDS findet sich im Shibboleth Wiki. Ergänzend hierzu einige allgemeine Anmerkungen und Hinweise zur Installation unter Debian: Download unter http://shibboleth.net/downloads/embedded-discovery-service/latest/ Tatsächlich benötigt werden nur die im Zip-Archiv enthaltenen Dateien idpselect_config.js, idpselect.css, idpselect.js und ggf. index.html, siehe hierzu auch die enthaltene README.txt Unter Debian empfiehlt es sich, diese Dateien unter /var/www, /var/www/html o.ä. abzulegen, z.B. /var/www/vhosts/sp.uni-beispiel.de/ds/ Zunächst muss index.html angepasst oder eine eigene HTML-Seite angelegt werden, in der die JavaScript-Aufrufe eingebettet werden, siehe hierzu die Kommentare in index.html sowie die offizielle Dokumentation Für das <noscript>-Element empfiehlt sich der Link auf einen zentralen WAYF/DS, z.B. https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf?entityID=https%3A%2F%2Fsp.uni-beispiel.de%2Fshibboleth&return=https%3A%2F%2Fsp.uni-beispiel.de%2FShibboleth.sso%2FLogin%3FSAMLDS%3D1 Spezifische Anpassungen müssen in idpselect_config.js und ggf. idpselect.css vorgenommen werden, siehe hierzu die Kommentare in den betreffenden Dateien sowie die offizielle Dokumentation Zuletzt geändert: vor 10 Monaten Anmelden