Dies ist eine alte Version des Dokuments!
Shibboleth Embedded Discovery Service (EDS)
Sofern Ihr SP seinen Service nur gewissen Einrichtungen zur Verfügung stellt, empfehlen wir einen sogenannten Metadata-Filter im SP zu konfigurieren welcher dafür sorgt dass der EDS dem User nicht mehr einfach alle IdPs in der Föderation zur Auswahl stellt sondern nur diejenigen von denen die Nutzung des Dienstes möglich ist.
Beispiel-Filter: explizite Angabe der gewünschten IdPs
- /etc/shibboleth/shibboleth2.xml
... <MetadataProvider type="Chaining"> <MetadataProvider type="XML" uri="https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Basic-metadata.xml" backingFilePath="DFN-AAI-Basic-metadata.xml" minRefreshDelay="240" reloadInterval="300"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" /> <MetadataFilter type="Whitelist"> <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include> <Include>https://idp.uni-beispiel2.de/idp/shibboleth</Include> <Include>https://idp.uni-beispiel3.de/idp/shibboleth</Include> </MetadataFilter> </MetadataProvider> ... </MetadataProvider>
Beispiel: Positiv-Auswahl anhand einer **Entity Category**
siehe Online-Dokumentation des bwIDM-Projekts unter https://www.bwidm.de/teilnahme/dienstanbieter/ (Abschnitt 1.2 - Technische Voraussetzungen)
Beim EDS handelt es sich um einen Satz von Java Scripts, der sich in beliebige HTML-Seiten einbetten lässt und der mit dem vom Shibboleth SP ab Version 2.4 generierten Discovery Feed arbeitet (/Shibboleth.sso/DiscoFeed). Hierbei handelt es sich um (IdP-)Daten im JSON-Format, die aus den über ein oder mehrere MetadataProvider-Elemente verfügbaren Metadaten generiert werden - nach Anwendung etwaiger MetadataFilter, z.B. einer Whitelist von Entity IDs zugriffsberechtigter IdPs oder einer EntityCategory. Auf diese Weise lässt sich mit geringem Aufwand eine Einrichtungsauswahl realisieren, die ausschließlich IdPs von Einrichtungen enthält, deren NutzerInnen Zugriff auf den vom SP geschützten Dienst erhalten sollen.
Die offizielle Dokumentation zum EDS findet sich im Shibboleth Wiki.
Ergänzend hierzu einige allgemeine Anmerkungen und Hinweise zur Installation unter Debian:
- Tatsächlich benötigt werden nur die im Zip-Archiv enthaltenen Dateien
idpselect_config.js,idpselect.css,idpselect.jsund ggf.index.html, siehe hierzu auch die enthalteneREADME.txt - Unter Debian empfiehlt es sich, diese Dateien unter
/var/www,/var/www/htmlo.ä. abzulegen, z.B.
/var/www/vhosts/sp.uni-beispiel.de/ds/ - Zunächst muss
index.htmlangepasst oder eine eigene HTML-Seite angelegt werden, in der die JavaScript-Aufrufe eingebettet werden, siehe hierzu die Kommentare inindex.htmlsowie die offizielle Dokumentation- Für das <noscript>-Element empfiehlt sich der Link auf einen zentralen WAYF/DS, z.B.
https://wayf.aai.dfn.de/DFN-AAI-Basic/wayf?entityID=https%3A%2F%2Fsp.uni-beispiel.de%2Fshibboleth&return=https%3A%2F%2Fsp.uni-beispiel.de%2FShibboleth.sso%2FLogin%3FSAMLDS%3D1
- Spezifische Anpassungen müssen in
idpselect_config.jsund ggf.idpselect.cssvorgenommen werden, siehe hierzu die Kommentare in den betreffenden Dateien sowie die offizielle Dokumentation