Once a university or a research institution has an Identity Provider up and running, it makes sense to protect as many in-house services as possible with an SP software.

Wurde an einer Einrichtung erst einmal ein IdP eingerichtet, entsteht schnell der Wunsch, möglichst viele einrichtungsinterne Dienste mit Service Providern auszustatten, um ebenfalls in den Genuss des vereinfachten User-/Passwort-Managements zu kommen. Beispiele für solche Anwendungen sind:

• Monitoring
• lokale Zertifizierungsstelle für Studierende
• interne Bibliotheksanwendungen
• interne Rechenzentrumsanwendungen
• interne Verwaltungsanwendungen
• geschützte Webserver der Hochschule

Diese Dienste sollen i.d.R. nicht von anderen Einrichtungen genutzt werden können. Sie gehören daher nicht in die DFN-AAI oder die DFN-AAI-Basic. Die Metadatenverwaltung bietet eine andere Möglichkeit: Sie können dort einen lokalen Metadatensatz generieren lassen, die nur den IdP und die lokalen SPs Ihrer Einrichtung enthält. Alle lokalen Metadatensätze werden stündlich neu erzeugt und sind über feste URLs abrufbar. Damit ist zugleich gewährleistet, dass die lokalen SPs stets aktuelle und gültige Metadaten besitzen.

Ein weiterer Vorteil für Sie: Wenn Sie hausinterne Dienste als lokale SPs in die Metadatenverwaltung einpflegen, werden Sie vor Ablauf der Zertifikate genau so von uns informiert wie bei den Systemen in den Föderationen.

Diese Option kann in der Metadatenverwaltung unter dem Punkt “Vertragsdaten” aktiviert werden. Dann erscheint in der Übersicht eine zusätzliche Spalte “lokale Metadaten”. Außerdem kann der Zugriff auf die lokalen Metadaten auf bestimmte IP-Bereiche eingegrenzt werden.

Beispiel Schaltfläche “Vertragsdaten”:

Anschließend können der IdP und die gewünschten SPs in die lokalen Metadaten aufgenommen werden:

Der URL für die lokalen Metadaten einer Einrichtung hat das Format https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml, wobei “999” durch eine einrichtungsspezifische Nummer zu ersetzen ist. Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter “lokale Metadaten” abgerufen werden:

Für die lokalen Metadaten muss in ./conf/metadata-providers.xml ein weiteres <MetadataProvider>-Element hinzugefügt werden.

/opt/shibboleth-idp/conf/metadata-providers.xml

<MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" ...>
 
    <!-- ... -->
 
    <MetadataProvider id="DFN_AAI"
            xsi:type="FileBackedHTTPMetadataProvider"
            backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml"
            metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml"
            maxRefreshDelay="PT2H">
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                    certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
    </MetadataProvider>
 
    <MetadataProvider id="DFN_AAI_Local"
            xsi:type="FileBackedHTTPMetadataProvider"
            backingFile="%{idp.home}/metadata/dfn-aai-local-999-metadata.xml"
            metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml"
            maxRefreshDelay="PT2H">
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                    certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                    <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
    </MetadataProvider>
 
</MetadataProvider>

Beim Shibboleth SP fügt man in /etc/shibboleth/shibboleth2.xml einen zusätzlichen Metadataprovider hinzu:

/etc/shibboleth/shibboleth2.xml

    ...
   <MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml"
         validate="true" backingFilePath="dfn-aai-local-999-metadata.xml" reloadInterval="3600">
       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/>
   </MetadataProvider>
    ...