Once a university or a research institution has an Identity Provider up and running, it makes sense to protect as many in-house services as possible with an SP software for a unified login experience. Here is a few examples for possible applications:

• monitoring
• local certification authority for students
• in-house library applications
• in-house data center applications
• in-house adminstrative application
• protected web servers of the institution

These services shall in general not be accessible for members of other home institutions. That is why you do not let them join DFN-AAI or DFN-AAI-Basic. The Metadata Administration Tool offers a different solution: You can activate the automatic generation of a so-called local metadata file that will only contain your IdP and your in-house SPs. It is thus specific to your institution. All local metadata files are generated hourly: They can be fetched from static URLs to make sure that the IdP and all local SPs always have up-to-date and valid metadata. The big advantage: Metadata can be maintained in a single place. Changes will then propagate to all participating systems (that fetch the local metadata regularly) automatically. If you maintain your in-house SPs als local SPs you will be informed about expiring certificates by us as if those systems were taking part in DFN-AAI.

You can activate the generation of local metadata for your institution in the Metadata administration tool, in the section “Contracts”.

Diese Option kann in der Metadatenverwaltung unter dem Punkt “Vertragsdaten” aktiviert werden. Dann erscheint in der Übersicht eine zusätzliche Spalte “lokale Metadaten”. Außerdem kann der Zugriff auf die lokalen Metadaten auf bestimmte IP-Bereiche eingegrenzt werden.

Beispiel Schaltfläche “Vertragsdaten”:

Anschließend können der IdP und die gewünschten SPs in die lokalen Metadaten aufgenommen werden:

Der URL für die lokalen Metadaten einer Einrichtung hat das Format https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml, wobei “999” durch eine einrichtungsspezifische Nummer zu ersetzen ist. Der korrekte URL kann in der Metadatenverwaltung auf der jeweiligen Übersichtsseite unter “lokale Metadaten” abgerufen werden:

Für die lokalen Metadaten muss in ./conf/metadata-providers.xml ein weiteres <MetadataProvider>-Element hinzugefügt werden.

/opt/shibboleth-idp/conf/metadata-providers.xml

<MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" ...>
 
    <!-- ... -->
 
    <MetadataProvider id="DFN_AAI"
            xsi:type="FileBackedHTTPMetadataProvider"
            backingFile="%{idp.home}/metadata/dfn-aai-sp-metadata.xml"
            metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml"
            maxRefreshDelay="PT2H">
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                    certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
    </MetadataProvider>
 
    <MetadataProvider id="DFN_AAI_Local"
            xsi:type="FileBackedHTTPMetadataProvider"
            backingFile="%{idp.home}/metadata/dfn-aai-local-999-metadata.xml"
            metadataURL="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml"
            maxRefreshDelay="PT2H">
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                    certificateFile="/etc/ssl/aai/dfn-aai.pem"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                    <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
    </MetadataProvider>
 
</MetadataProvider>

Beim Shibboleth SP fügt man in /etc/shibboleth/shibboleth2.xml einen zusätzlichen Metadataprovider hinzu:

/etc/shibboleth/shibboleth2.xml

    ...
   <MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-999-metadata.xml"
         validate="true" backingFilePath="dfn-aai-local-999-metadata.xml" reloadInterval="3600">
       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem"/>
   </MetadataProvider>
    ...