Dies ist eine alte Version des Dokuments!


Shibboleth Embedded Discovery Service (EDS)

Sofern Ihr SP seinen Service nur gewissen Einrichtungen zur Verfügung stellt, empfehlen wir einen sogenannten Metadata-Filter im SP zu konfigurieren. Dieser sorgt dafür dass der EDS dem User nicht mehr einfach alle IdPs in der Föderation zur Auswahl stellt sondern nur diejenigen von denen die Nutzung des Dienstes möglich ist.

/etc/shibboleth/shibboleth2.xml
...
   <MetadataProvider type="XML" 
         uri="https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Basic-metadata.xml"
         backingFilePath="DFN-AAI-Basic-metadata.xml" 
         minRefreshDelay="240" reloadInterval="300">
      <MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/>
      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.g2.pem" />
      <MetadataFilter type="Whitelist">
         <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include>
         <Include>https://idp.uni-beispiel2.de/idp/shibboleth</Include>
         <Include>https://idp.uni-beispiel3.de/idp/shibboleth</Include>
      </MetadataFilter>
   </MetadataProvider>
   ...
root@host:~# systemctl restart shibd
root@host:~# systemctl reload apache2

siehe Online-Dokumentation des bwIDM-Projekts unter https://www.bwidm.de/teilnahme/dienstanbieter/ (Abschnitt 1.2 - Technische Voraussetzungen)

  • Zuletzt geändert: vor 4 Jahren